2020.09.01

web 서비스 특징
= 3XX 은 리다이렉션
= 4 은 클라이언
= 5 은 서버

http
head === WEB 서버와 브라우저의 통신
body === 내용

쿠키, 세션 관리 기술 필요

header 에 엔터 두번이번 그아래는 body 내용

제약사항
클라이언트 자원에대한 접근 제한(클라이언트의 MAC 접근안된)
클라이언트 상태저장 불가
은행 - 디비에 부하가 많음

취약점
낮은 수준의 기술로도 해킹 간은
빠른 시간내 악성코드 배포

Host Os 보안
패치 : 벤더등을 통한 배치
전용web서버로 구성을 권장, 최소한의 프로그램 이외 불필요한 서비스 제거(경화)
netstat -an 해당 서비스를 확인 할 수 있음
접근제어 : 관리 목적인 경우만 콘솔 접근 허용 ssh, webadmin
불가능한 경우 관리자가 사용하는 PC의 IP만 접근

DMZ : 웹서버 DMZ영역에 위치
강력한 암호사용 (공용계정을 사용하지 않음)


웹서버 보안 설정
소스코드 현태의 배포본 설치 : 공식 사이트를 통해서 다운로드
웹서버를 설치 전 부터 보안 설정 완료 시까지 호스트의 네트웨크 접속 차단
로그파일 보호은 로그서버를 만들어 사용
링크사용 금지
자동 디렉토리 리스팅 사용 중지
샘플파일제거

보안서버 유형
SSL 인증서 방식 안드로이드,PC등 모든 방식의 인증이 가능,SSL 인증서만 있으면 가능

응용프로그램 방식 프로그램 설치

 

공개용 웹서버 보안 요구사항(법적인 요구사항) = 감독규정
안전한 관리를 위한 대책을 유지
공개용 웹서버를 내부 통신망과 분리하여 DMZ 구간에 설치
아이디와 아이피로 접근 추가인증수단인 OTP를 이용 (IP는 추가 인증으로 인증하지 않음)
공개용 웹서버에서는 제공하는 서비스를 제외한 다른 서비스 및 시험 개발 도구등의 사용을 제한 할 것
gcc,javac 등을 제한 (권한방어나 삭제)
거래 로그는 관리하기 위해서 암호화 하여 저장관리
무기명 또는 가명에 의한 게시 금지
단말기에서 유해 싸이트 차단 통제를 대책 마련
위 변조 방어

아파치 : httpd.conf 환경 파일
IIS : 버전별로 환경이 다름 (373 Page)
IIS 버전 6이 기준 (접근제한 확인)

381 Page 아파치 설정
383 Page 오번 : 리눅스는 standalone 각 서비스별 통제가능

tcpd에서 통제 inet / etc/hosts.allow
/etc/hosts.deny

WAF (386 page)
- 웹 방화벽
= s/w
= 하드웨어 : ssl 암호화 인 경우 해석이 안됨
= SSL 가속기 암호화를 L4가 수행(SSL) , 서버는 http 이용하고 , Web 방화벽은
암호화 L4와 http 서버 사이에 두면됨

웹 애프리케이션 보안
= 개발보안으로 진행이 안되면 WAF를 이용
= 개발보안으로 하는 것이 좋름 WAF는 속도가 느림
= WAF는 제약사항이 많음

중요한 로직은 서버에서 검증을 하다.
해당 서버에 경로가 모두 나오는 현상은 좋지 않음
- 상위 폴더로 올라갈 수 있어 암호파일을 다운로드 받을 수 있음
CSRF 공격 = 게시판에서 javascript 실행되는 것을 확인하면 바로 가능

개발 보안의 필요성
- s/w 개발 보안
설계부터진행하여 개발 등 (SCLD) 이용
모의 해킹 등을 활요

- 안전한 소프트웨어 만들기 위한 조건
프로젝트에 참여하는 각 구성원들의 역활과 책임이 명확하게 정의
개발팀에게 충분한 소프트웨어 보안 교육 제공
소프트웨어 개발 생명 주기의 각 단계에 보안 활동이 수행
개발 보안을 위한 표준이 확립
재상요 가능한 보안 라이브러리를 프로젝트에 도입하여 사용

- s/w 개발 보안
2016 행정기관 및 공공기관 정보시스템 구축 운영 지침은 개발과 관련하여
행정 기관 침 공공기관이 정화활 사업을 추진할 경우 준수(개발 20개)

- 생명 주기 모델 스킵

- 개발 보안 방법론
요구사항 분석부터 보안을 적용

요구사항: 요구사항 정의저
화면 섦계서 ERD

취약점 점검 = 취약점 점검

모의 해킹

개발 보안 방법론

구현 개발자
테스트 분서가
보안감사자 :

주요 취약점
관리자 페이지 접근 통제 취약점
프로젝트 소스에 중요 정보 노출
악의적 명령 실행
취약한 세션

웹 방화벽
소프트 웨어, 하드웨어

관리자 페이지 접근통제
URL/admin
URL/manager
URL/master 이런것은 좋지 않음

웹서버에서 접근제어 설정할 수 있음
일반사요자가 사용하는 환경에서 관리자 페이지에 접속

프로그램 소스에 중요정보 노출
소스에 주석이 나오는 것이 나오면 안됨
주석으로 잡은 소스는 나오지 않아야 한다
프로그램에 힌트가 되는 코드는 나오지 않아야 한다

악의적 명령 실행(XSS : Cross-Site Scripting)
반사 XSS
Stared XSS
DOM XSS
XSS 를 이용해서 쿠키나 세션을 공격자가 가지고 올 수 있음
언어별로 방어하는 함수가 있으니 이용

SQL 인젝션
필터일 적용
블라인더 SQL 인젝션 and 를 이용하여 and 앞뒤의 내용이 True 인지 False인지 판단
테이블이나 컬럼명을 확인하기 위하여 사용

파일업로드
web shell을 실행하기위해서 이니 파일이 올라가지 않도록 주의

다운로드는 중요한 파일이 다운로드되지 않도록 주의
파일접근시 필터링 적용

중간 페이지 접속
정상적인 인증 과정을 거치지 않고 중간 페이지로 바로 접속하여 정보가 취약한 페이지 진행

프록시를 이용하여 특정 페이지 접근시 자바스크립트로 작성된 검증 로직을 우회
서버에서 다시 한번 검증

MTD = biz (법)
은행 3시간
보험 24

RTO
RPO 의미

재해복구 서비스
중복 시스템 운영/미러 사이트 = 둘이 똑같은 사이트
핫 사이트 - activity , standby
웜 사이트 - 대체 확보
콜드 사이트