Home > Àüü±â»ç

ȨÆäÀÌÁö º¯Á¶, ÀÌ·¸°Ô ¸·ÀÚ

ÀÔ·Â : 2006-03-28 00:00
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

NCSC ¡°À¥ °³¹ßÀÚ ¹× °ü¸®ÀÚ, º¯Á¶»ç°í ¹æÁö¿¡ µµ¿ò¡±


±¹Á¤¿ø ±¹°¡»çÀ̹ö¾ÈÀü¼¾ÅÍ(¼¾ÅÍÀå À±¼®±¸ www.ncsc.go.kr/ NCSC)´Â ¾ó¸¶Àü ±¹°¡±â°üÀ» ´ë»óÀ¸·Î ÇÑ À̽½¶÷ÇØÄ¿ÀÇ È¨ÆäÀÌÁö º¯Á¶»ç°í°¡ ºó¹øÇÏ°Ô ¹ß»ýÇÔ¿¡ µû¶ó ¡®È¨ÆäÀÌÁö º¯Á¶ ´ëÀÀ °¡À̵å¶óÀΡ¯À» Á¦ÀÛ ¹èÆ÷Çß´Ù.


±¹Á¤¿ø °ü°èÀÚ´Â ¡°ÀÌ °¡À̵å¶óÀο¡ µû¶ó Ãë¾àÁ¡À» Á¶¼ÓÈ÷ Á¦°ÅÇϱ⠹ٶó¸ç ÀÏ¹Ý ±â¾÷ÀÇ È¨ÆäÀÌÁö¿¡¼­µµ Àû¿ëÀÌ °¡´ÉÇϹǷΠÀ¥ °³¹ßÀÚ³ª °ü¸®ÀÚµéÀº À¥ °³¹ß°ú °ü¸®½Ã  ÂüÁ¶Çϱ⠹ٶõ´Ù¡±°í µ¡ºÙ¿´´Ù. ÀÌÇÏ´Â °¡À̵å¶óÀÎ Àü¹®ÀÌ´Ù.


À¥ °³¹ßÀÚ³ª °ü¸®ÀÚµéÀº ÀÚ½ÅÀÌ °³¹ßÇÏ°í °ü¸®ÇÏ´Â »çÀÌÆ®¿¡¼­ ¼ÒÁßÇÑ °í°´Á¤º¸³ª °³ÀÎÁ¤º¸°¡ »õ³ª°¡´Â °Í¿¡ ´ëÇØ Ã¥ÀÓÀǽÄÀ» ´À²¸¾ß ÇÑ´Ù. Àڽŵé·Î ÀÎÇØ Å« »çȸ¹®Á¦°¡ ºó¹øÇÏ°Ô ¹ß»ýÇÏ´Â µ¥µµ ºÒ±¸ÇÏ°í Ã¥ÀÓÀ» Àü°¡Çϴ ŵµ´Â Áö¾çÇØ¾ß ÇÑ´Ù.


º¸¾È¾÷ü °ü°èÀÚµéÀº ¡°Á¤º¸Åë½ÅºÎ´Â º¸¾ÈÀ» °ÔÀ»¸® ÇØ °³ÀÎÁ¤º¸¸¦ À¯ÃâÇÑ »çÀÌÆ®¿¡ ´ëÇÑ °­ÇÑ ¹ýÀû Á¶Ä¡¸¦ ÃëÇØ¾ß ÇÑ´Ù¡±°í °­Á¶ÇÏ°í ÀÖ´Ù.   


¡áȨÆäÀÌÁö ÆÄÀÏ ¾÷·Îµå Ãë¾àÁ¡ Á¦°Å


÷ºÎÆÄÀÏ ¾÷·Îµå¸¦ Çã¿ëÇϴ ȨÆäÀÌÁö °Ô½ÃÆÇ¿¡¼­¡®.php, .jsp, .asp, .cgi, pl¡¯ µîÀÇ È®ÀåÀÚ À̸§ÀÇ ½ºÅ©¸³Æ® ÆÄÀÏÀ» ¾÷·Îµå¸¦ Çã¿ëÇÒ °æ¿ì¿¡ ÇØÄ¿°¡ ¾Ç¼ºÇÁ·Î±×·¥À» ¾÷·Îµå ÇÑ ÈÄ ¿ø°Ý¿¡¼­ ȨÆäÀÌÁö º¯Á¶°¡ °¡´ÉÇÏ´Ù. 

-ÇØ´ç ȨÆäÀÌÁöÀÇ °Ô½ÃÆÇ¿¡ ÷ºÎÆÄÀÏ ±â´ÉÀÌ ÀÖ´ÂÁö È®ÀÎ

-ƯÁ¤ È®ÀåÀÚ (.php, .jsp, .asp, .cgi, pl)¸¦ °¡Áø ÆÄÀÏÀÇ ¾÷·Îµå °¡´É ¿©ºÎ È®ÀÎ

-½ÇÇà °¡´ÉÇÑ ÆÄÀÏÀÇ ¾÷·Îµå°¡ µÇÁö ¾Êµµ·Ï ¼Ò½º ÄÚµå ¼öÁ¤

-¼öÁ¤ ÈÄ ÇØ´çÆÄÀÏ ¾÷·Îµå°¡ µÇÁö ¾Ê´Â Áö È®ÀÎ


¡áÆÄÀÏ ¾÷·Îµå Æú´õ ³»¿¡¼­ ½ºÅ©¸³Æ® ÆÄÀÏ ½ÇÇà Á¦ÇÑ


-¾÷·Îµå ÆÄÀÏÀ» À§ÇÑ À©µµ¿ìÀÇ °æ¿ì [¼³Á¤]¡æ[Á¦¾îÆÇ]¡æ[°ü¸®µµ±¸]¡æ[ÀÎÅͳݼ­ºñ½º°ü¸®ÀÚ] ¼±ÅÃÇØ ¿À¸¥ÂÊ Å¬¸¯ ÈÄ [µî·ÏÁ¤º¸]¡æ[µð·ºÅ丮]¸¦ ¼±ÅÃÇØ ½ÇÇà±ÇÇÑÀ» ¡®¾øÀ½¡¯À¸·Î ¼³Á¤ÇÒ °Í.

-¸®´ª½ºÀÇ °æ¿ì httpd.conf¿Í °°Àº À¥¼­¹ö µ¥¸ó ¼³Á¤¿¡¼­ ½ÇÇà ¼³Á¤ º¯°æ.

-º¸´Ù ¿Ïº®ÇÑ Á¦ÇÑÀ» À§ÇØ ¾÷·Îµå ÆÄÀÏÀ» À§ÇÑ Àü¿ë µð·ºÅ丮¸¦ º°µµ·Î »ý¼º.


¡áÀ©µµ¿ì WebDAV Ãë¾àÁ¡


¿ø°Ý À¥¼­¹ö °ü¸®°¡ ÇÊ¿ä¾øÀ» ½Ã WebDAV ÁßÁö

-NCSS(www.ncsc.go.kr)ÀÇ ¡®È¨ÆäÀÌÁö º¸¾È°ü¸® ¸Å´º¾ó¡¯ ÂüÁ¶


httpext.dll ÆÄÀÏÀÇ Everyone ±ÇÇÑ »èÁ¦

-/windows/system32/inetserv/httpext.dllÀÇ µî·ÏÁ¤º¸ÀÇ º¸¾ÈÅÇ¿¡¼­ ±×·ì ¶Ç´Â »ç¿ëÀÚÀ̸§ ºÎºÐ¿¡ Everyone Á¸Àç ½Ã »èÁ¦ Á¶Ä¡


Ȩ µð·ºÅ丮 ¸Þ´ºÀÇ ¡®¾²±â ±ÇÇÑ »èÁ¦

-[Á¦¾îÆÇ]¢¡[°ü¸®µµ±¸]ÀÇ [ÀÎÅÍ³Ý ¼­ºñ½º °ü¸®ÀÚ] ¸Þ´º¿¡¼­ [±âº» À¥»çÀÌÆ®]ÀÇ ¸¶¿ì½º¸¦ ¿À¸¥ÂÊ Å¬¸¯. ¼Ó¼ººÎºÐÀÇ [±âº» À¥»çÀÌÆ® µî·Ï Á¤º¸]ÀÇ [Ȩ µð·ºÅ丮] ºÎºÐÀÇ ¡®¾²±â¡¯Ç׸ñÀÌ Ã¼Å©µÇ¾î ÀÖÀ» ½Ã À̸¦ Á¦°Å.


¡áSQL Injection ¹æÁö


DB¿Í ¿¬µ¿ÇÏ´Â ½ºÅ©¸³Æ®ÀÇ ÆĶó¹ÌÅÍ, Ư¼ö¹®ÀÚ(¡®  ¡°¡±  / ; : Space -- + µî), ¿¡·¯¸Þ½ÃÁö¸¦ Á¡°ËÇÏ¿© »ç¿ëÀÚÀÇ ÀÔ·Â °ªÀÌ SQL InjectionÀÌ ¹ß»ýÇÏÁö ¾Êµµ·Ï Á¡°Ë.


http://www.sans.org/rr/whitepapers/securecode/23.php »çÀÌÆ® ÂüÁ¶.


Áö¼ÓÀûÀÎ ¸ð´ÏÅ͸µ ¹× ÃֽŠÆÐÄ¡ÀÇ Àû¿ëÀÌ ÇÊ¿ä.


¡áDB°ü·Ã ÆÄÀÏ ¶Ç´Â bak ÆÄÀÏ Á¦°Å


-ȨÆäÀÌÁö ¼öÁ¤ µîÀ» À§ÇØ ¸¸µé¾îÁø .bak ÆÄÀÏÀÌ À¥¿¡ text ÆÄÀÏ·Î ³ëÃâµÉ °æ¿ì ¼Ò½º³ª DB Á¤º¸ µîÀÇ ³ëÃâ·Î ÀÎÇØ º¸¾È¿¡ Ä¡¸íÀûÀÌ´Ù.

-ºÒÇÊ¿äÇÑ ¹é¾÷ ÆÄÀÏ ¸ðµÎ »èÁ¦

-asacheÀÇ °æ¿ì httpd.conf¿¡ ´ÙÀ½°ú °°Àº ¼³Á¤ ÇÊ¿ä

 

 

¡á°Ë»ö¿£Áø ÇÇÇϱâ


robots.txtÀÇ ÀÌ¿ë

-À¥ °Ë»ö ·Îº¿Àº ·Îº¿¹èÁ¦±âÁØÀ» µû¸£°í ÀÖ´Ù. ·Îº¿¹èÁ¦±âÁØÀº ·Îº¿ÀÌ ÀÚ½ÅÀÇ È¨ÆäÀÌÁöÀÇ Æ¯Á¤ ºÎºÐÀ» °¡Á®°¡Áö ¸øÇÏ°Ô ÇÏ´Â °ÍÀ¸·Î¼­ ƯÁ¤ µð·ºÅ丮¿¡ robots.txt ÆÄÀÏÀ» »ç¿ëÇÏ´Â °ÍÀÌ´Ù. °Ë»ö¿£Áø¿¡¼­ ÇÇÇÏ°í ½ÍÀº ¼³Á¤À» robots.txt¿¡ ÀÛ¼º ÈÄ ÇØ´ç ÆÄÀÏÀ» ·çÆ® µð·ºÅ丮¿¡ ÀúÀåÇÏ¸é µÈ´Ù.


¡á°ü¸®ÀÚ ÆäÀÌÁö Á¢±Ù Á¦ÇÑ


IIS À¥ ¼­¹ö

-[¼³Á¤]-[Á¦¾îÆÇ]-[°ü¸®µµ±¸]-[ÀÎÅÍ³Ý ¼­ºñ½º °ü¸®ÀÚ]¿¡¼­ ¿À¸¥ÂÊ Å¬¸¯ ÈÄ [µî·ÏÁ¤º¸]-[µð·ºÅ丮º¸¾È]-[IP ÁÖ¼Ò ¹× µµ¸ÞÀÎ À̸§Á¦ÇÑ]-[ÆíÁý]À» ÅëÇØ °ü¸®ÀÚ IP¸¸ µî·ÏÇØ Á¢±Ù Á¦ÇÑ.


Apache À¥ ¼­¹ö

-°ü¸®ÀÚ µð·ºÅ丮¿¡ ´ëÇØ Æ¯Á¤ IP¸¸ Á¢±Ù °¡´ÉÇÏ°Ô Çϱâ À§ÇØ È¯°æ¼³Á¤ ÆÄÀÏÀÎ httpd.conf ÆÄÀÏÀÇ µð·ºÅ丮 ¼½¼ÇÀÇ AllowOverride Áö½ÃÀÚ¿¡¼­ AuthConfig ¶Ç´Â AIIÀ» Ãß°¡ÇÑ´Ù.

-ApacheÀÇ °æ¿ì httpd. conf ¼³Á¤

 


-°Ô½ÃÆÇ¿¡¼­ .htaccess ¾÷·Îµå ¾ÈµÇµµ·Ï ÇÊÅ͸µ: .htaccessÆÄÀÏÀ» »ç¿ëÇÒ °æ¿ì ÆÄÀϸíÀ» º¯°æÇؼ­ »ç¿ë. ¶ÇÇÑ httpd.conf ÆÄÀÏ¿¡ AllowOverride None ¼³Á¤ ¹× Indexes ¿É¼Ç Á¦°Å(ÆÄÀÏ ¸ñ·Ï ³ëÃâ ¹æÁö)


¡áºÎÀûÀýÇÑ È¯°æ ¼³Á¤ º¸¿Ï


¸®´ª½º ¹× À¯´Ð½º À¥¼­¹öÀÇ °æ¿ì

-À¥¼­¹ö¿¡¼­ µð·ºÅ丮ÀÇ ¸ðµç ÆÄÀϵéÀ» »ç¿ëÀÚ¿¡°Ô º¸¿© ÁÙ ¼ö ÀÖ´Â µð·ºÅ丮 Àε¦½Ì ±â´ÉÀ» ÅëÇØ °ø°ÝÀÚ¿¡°Ô À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ Á¤º¸ Á¦°ø.

-µð·ºÅ丮º°·Î ¸®½ºÆÃÀÌ ºÒ°¡´ÉÇϵµ·Ï ¼³Á¤.

 


À©µµ¿ìÀÇ °æ¿ì

-[Á¦¾îÆÇ]-[°ü¸®µµ±¸]ÀÇ [ÀÎÅͳݼ­ºñ½º°ü¸®ÀÚ] ¸Þ´º¿¡¼­ [±âº»À¥»çÀÌÆ®]ÀÇ ¸¶¿ì½º ¿À¸¥ÂÊ Å¬¸¯ÇØ ¡®±âº»À¥»çÀÌÆ® µî·Ï Á¤º¸¡¯ ¸Þ´º¸¦ ÂüÁ¶ÇÑ´Ù.

-Ȩ µð·ºÅ丮 ºÎºÐÀ» Ŭ¸¯ÇÏ°í µð·ºÅ丮 °Ë»ö ¿É¼Ç ºÎºÐÀÌ Ã¼Å©µÇ¾î ÀÖÀ¸¸é À̸¦ ÇØÁöÇÏ°í Àû¿ë¹öÆ°À» Ŭ¸¯ÇÑ´Ù.


¡áÁ¦·Îº¸µå Ãë¾àÁ¡


ÆÄÀÏ ³ëÃâ Ãë¾àÁ¡(´Ù¿î·Îµå Ãë¾àÁ¡)

-½Ã½ºÅÛ ³»ºÎÀÇ Áß¿ä ÆÄÀϵéÀÇ ³»ºÎÁ¤º¸¸¦ ³ëÃâ½ÃÅ´


¿ÜºÎ ¼Ò½º ½ÇÇà Ãë¾àÁ¡(¿ø°Ý ÆÄÀÏ »ðÀÔ Ãë¾àÁ¡)

-include Ç׸ñÀÇ º¯¼ö¸¦ ¿ÜºÎ¿¡¼­ ½ÇÇàÇÒ ¼ö ÀÖ¾î ¿ø°ÝÀÇ ÆÄÀÏÀ» ÂüÁ¶½ÃÄÑ ½Ã½ºÅÛ Á¤º¸¸¦ ÆľÇÇÏ°í À¥ ¼­ºñ½º ±ÇÇÑÀ» ȹµæÇÒ ¼ö ÀÖ´Ù.

-php.ini ÆÄÀÏÀÇ ¼³Á¤À» ¡°allow_ur_fopen = OFF¡± ¹× ¡°register_globals = OFF¡±·Î ¼³Á¤.


XSS Ãë¾àÁ¡

-¼­¹ö ¼³Á¤¿¡ µû¶ó¼­ $dir, $_zb_path º¯¼ö¸¦ ÀÌ¿ë, ¿ÜºÎ¿¡¼­ ÀÓÀÇÀÇ ½ºÅ©¸³Æ®¸¦ ½ÇÇàÇÏ´Â ¹®Á¦·Î½á preg_replac¿¡¼­ Á¤±Ô Ç¥Çö½ÄÀ» ÀÌ¿ëÇÒ ¶§ quotes¸¦ ÇÏÁö ¾Ê¾Æ ¹ß»ý.

-http://www.nzeo.com/¿¡¼­ ÆÐÄ¡ Àû¿ë


»ç¿ëÇÏÁö ¾Ê´Â °Ô½ÃÆÇ Á¦°Å


¡á±ÇÇÑ »ó½Â ¹æÁö


ÃÖ±Ù À¯ÇàÇÏ´Â SSH brute force °ø°ÝÀ̳ª WebDAV Ãë¾àÁ¡ µîÀº ±ÇÇÑ »ó½ÂÀ» À§ÇÑ ÀͽºÇ÷ÎÀÕ Äڵ带 ½ÇÇàÇÏ´Â °æ¿ì°¡ ¸¹´Ù. À̶§ ¹öÆÛ¿À¹öÇÃ·Î¿ì ±â¹ýÀ» ÀÌ¿ëÇØ ±ÇÇÑ »ó½ÂÀ» ½ÃµµÇÔ. ¹öÆÛ¿À¹öÇ÷οì´Â ½ºÅà ȤÀº Èü¿À¹öÇÁ·Î¿ì ±â¹ýÀÌ Àִµ¥ À̸¦ ¹æÁöÇÒ ¼ö ÀÖ´Â ±â¼úÀÌ À©µµ¿ì XP SP2¿Í À©µµ¿ì ¼­¹ö 2003 SP1¿¡ ±¸ÇöµÇ¾î ÀÖ´Ù.


±ÇÇÑ »ó½Â ¹æÁö ±â¹ý ¼³Á¤

-[½ÃÀÛ]-[Á¦¾îÆÇ]À» Â÷·Ê·Î Ŭ¸¯ÇÑ ´ÙÀ½ ¡®½Ã½ºÅÛ¡¯À» µÎ ¹ø Ŭ¸¯.

-°í±Þ ÅÇÀÇ ¼º´É¿¡¼­ ¡®¼³Á¤¡¯À» Ŭ¸¯.

-µ¥ÀÌÅÍ ½ÇÇà ¹æÁö ÅÇÀ» Ŭ¸¯.

[±æ¹Î±Ç ±âÀÚ(boannews@infothe.com)]


<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com). ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö.>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

±Ùµ¥.. 2006.04.03 17:32

good~~~~~!!


  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ À§Áîµð¿£¿¡½º 2018 ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)