KISA ¡°±¹³» À¥°³¹ß °ü·Ã µµ¼µé º¸¾È´ëÃ¥ ¾ð±Þ¾ø´Ù¡± ÁöÀû
¿î¿µÀÚ¤ý°ü¸®ÀÚ¿¡°Ô¸¸ º¸¾È ¶°³Ñ±â´Â °³¹ßÀÚ °¢¼ºÇؾß...
°üÇà¿¡ Á¥Àº À¥°³¹ß, À¥»çÀÌÆ® º¸¾È Ãë¾à¼º°ú °ü°èÀÖ´Ù!
¹é½Å¾÷ü °ü°èÀÚ ¡°½Ã°£Â÷ÀÌÀÏ »Ó ±¹³» À¥»çÀÌÆ® ´Ù ¶ÕÀ» ¼ö ÀÖ´Ù¡±
À¥ ÇØÅ·À¸·Î ÀÎÇÑ ¿©·¯ °¡Áö »çȸ¹®Á¦°¡ ºÒ°ÅÁö°í ÀÖ´Â »óȲÀÌ´Ù. À̸¦ ¹æÁöÇϱâ À§ÇÑ ´Ù¾çÇÑ ´ëÃ¥µéÀÌ ½ñ¾ÆÁö°í ÀÖÁö¸¸ ÇØÅ·ÇÇÇØ´Â ¿©ÀüÇÏ´Ù.
ÀÌ·± »óȲÀε¥µµ ºÒ±¸ÇÏ°í À¥ °³¹ßÀÚµéÀº º¸¾È¿¡ ½Å°æÀ» ¾²Áö ¾Ê¾Æµµ µÈ´Ù°í ÁÖÀåÇÑ´Ù. Áï À¥ °³¹ßÀÚµéÀº º¸¾ÈÀü¹®°¡°¡ ¾Æ´Ï¸ç ÀüÀûÀ¸·Î º¸¾ÈÀº ¿î¿µÀÚ¿Í °ü¸®ÀÚ°¡ ´ã´çÇØ¾ß ÇÒ ¿µ¿ªÀ̶ó°í »ý°¢ÇÏ´Â °æÇâÀÌ ÀÖ´Ù.
°³¹ßÀÚµéÀÌ º¸¾È¹®Á¦±îÁö ½Å°æÀ» ½á¾ßÇÏ´Â °ÍÀº ºÎ´çÇÏ´Ù´Â °³¹ßÀÚµéÀÇ ÁÖÀåÀº µÎ°¡Áö·Î ºÐ¼®ÇØ º¼ ¼ö ÀÖ´Ù. ù°, ¡®º¸¾È´ëÃ¥ ¹æ¹ýÀº ¾Ë°í ÀÖÁö¸¸ °ü¸®ÀÚ³ª ¿î¿µÀÚ°¡ º¸¾È´ëÃ¥¿¡ ´ëÇØ ¸»ÇÏÁö ¾Ê¾Ò±â ¶§¹®¿¡ ±ÄÀÌ º¸¾È´ëÃ¥À» ¼¼¿ï ÇÊ¿ä°¡ ¾ø´Ù. ½ÃÅ°Áöµµ ¾ÊÀº ÀÏÀ» ±¦È÷ ÇÒ ÇÊ¿ä¾ø´Ù¡¯´Â »ý°¢. ±×·¸Áö ¾Ê´Ù¸é ¶Ç Çϳª´Â ¡®Áö±Ý±îÁö º¸¾È´ëÃ¥À» ¼¼¿öº» Àûµµ ¾ø°í º¸¾È´ëÃ¥¿¡ ¾î¶² °ÍµéÀÌ ÀÖ´ÂÁö ¼ÖÁ÷È÷ ¸ô¶ú´Ù¡¯´Â °ÍÀ» ¿ìȸÀûÀ¸·Î Ç¥ÇöÇÑ °ÍÀÏ ¼öµµ ÀÖ´Ù.
Çѱ¹Á¤º¸º¸È£ÁøÈï¿ø(KISA) ÇØÅ·´ëÀÀÆÀ °ü°èÀÚ´Â ¡°ÇöÀç À¥°³¹ßÀÚµéÀÌ °øºÎÇÏ´Â ±¹³» À¥°³¹ß Âü°í¼(µµ¼)µéÀº ´ëºÎºÐ º¸¾È´ëÃ¥¿¡ ´ëÇؼ´Â ÀüÇô ¾ð±ÞÇÏÁö ¾Ê°í ÀÖ´Ù¡±¸ç ¡°µû¶ó¼ °³¹ßÀÚµéÀº Ã¥¿¡¼ ¹è¿î ´ë·Î À¥ °³¹ßÀ» Ãæ½ÇÇÏ°Ô ÇÏ°í ÀÖÀ¸¸ç ÀڽŵéÀÇ À¥°³¹ß ¹æ¹ýÀÌ ÃÖ¼±À̶ó°í »ý°¢ÇÏ´Â ¿À·ù¸¦ ¹üÇÏ°í ÀÖ´Ù¡±°í ÁöÀûÇß´Ù.
¶ÇÇÑ ±×´Â ¡°»çÀÌÆ®ÀÇ ¿î¿µÀÚ¿Í °ü¸®ÀÚ ±×¸®°í CEOÀÇ º¸¾ÈÀǽÄÀÌ °¡Àå Áß¿äÇÏÁö¸¸ À¥°³¹ßÀÚµéÀÇ º¸¾ÈÀÇ½Ä ºÎÀç¿Í º¸¾È¿¡ ´ëÇÑ ¹«Áöµµ ¹®Á¦Á¡À¸·Î ÁöÀûÇÒ ¼ö ÀÖ´Ù¡±°í ¹àÇû´Ù.
KISA ÀÎÅͳÝħÇØ»ç°í´ëÀÀÁö¿ø¼¾ÅÍ °ü°èÀÚ´Â ¡°À¥°³¹ßÀÚµéÀÌ »çÀÌÆ® °¡ÀÔÇÁ·Î±×·¥ °³¹ß½Ã Áֹεî·Ï¹øÈ£, ÀüȹøÈ£, ÁÖ¼Ò µîÀ» ¹¯´Â ÇÁ·Î±×·¥Àº ¸¶Ä¡ ¾à¹æÀÇ °¨ÃÊó·³ ½á¸Ô°í ÀÖ´Ù¡±¸ç ¡°ÀÌ·¯ÇÑ Á¤º¸µéÀÌ ¾ó¸¶³ª Áß¿äÇÑ °³ÀÎÁ¤º¸ÀÎÁÙµµ ¸ð¸£°í Áö±Ý±îÁö ÇØ¿Ô´ø °üÇà¿¡ µû¶ó À¥»çÀÌÆ® °³¹ßÀ» ÇÏ°í ÀÖ¾î °³ÀÎÁ¤º¸ À¯ÃâÀÇ ÁÖ¿ä ¿äÀÎÀ̶ó°í ¸» ÇÒ ¼ö ÀÖ´Ù¡±°í ÁöÀûÇß´Ù. ¶ÇÇÑ ¡°°ü¸®ÀÚ³ª ¿î¿µÀÚÀÇ Ã¥ÀÓÀÌ ´õ Å©°ÚÁö¸¸ º¸¾È¿¡ ÀÖ¾î °³¹ßÀÚµéÀÇ Ã¥ÀÓÀÌ ¾ø´Ù´Â ¸»Àº ¾îºÒ¼º¼³¡±À̶ó°í ÀÏÃàÇß´Ù.
¸ð ¹ÙÀÌ·¯½º ¹é½Å ¾÷ü °ü°èÀÚ´Â ¡°±¹³» À¥»çÀÌÆ®´Â Ãë¾àÁ¡ÀÌ ¸¹¾Æ ½Ã°£¸¸ Á»´õ °É¸°´Ù ¾È°É¸°´ÙÀÇ Â÷ÀÌ°¡ ³¯»Ó ´ëºÎºÐ ´Ù ¶ÕÀ» ¼ö ÀÖ´Ù. ÇØÄ¿ÀÇ ´É·Â ¶ÇÇÑ ÇØÅ· ½Ã°£À» ¾ó¸¶³ª ÁÙÀÌ°í µéÅ°Áö ¾Ê°í ¿øÇÏ´Â Á¤º¸¸¦ »©³» ¿Ã ¼ö ÀÖ´À³Ä¿¡ ´Þ¸° °Í¡±À̶ó°í ¸»ÇÑ´Ù.
±×µ¿¾È ȨÆäÀÌÁö °³¹ß½Ã °³¹ßÀÚµéÀÌ °£°úÇÑ Ãë¾àÁ¡¿¡ ´ëÇØ »ìÆ캸°í ±×¿¡ ´ëÇÑ º¸¾È´ëÃ¥¿¡´Â ¾î¶² °ÍµéÀÌ ÀÖÀ»±î? ±×¸®°í ½À°üÀû, °üÇàÀûÀ¸·Î ÇØ¿Ô´ø À¥°³¹ß½Ã ¹®Á¦Á¡À» ÁöÀûÇÏ´Â ½Ã°£À» °®°íÀÚ ÇÑ´Ù. ÀÌ¿Í °ü·Ã <º¸¾È´º½º>´Â ¿¬À縦 ÅëÇØ ¸î °¡Áö ¹®Á¦Á¡°ú ´ëÃ¥À» Á¦½ÃÇÏ°Ú´Ù.
<±âȹ-1>°ü¸®ÀÚ ÆäÀÌÁö¿¡ ´ëÇÑ Á¢±ÙÅëÁ¦
Á¢±ÙÅëÁ¦´Â ƯÁ¤ »ç¿ëÀڵ鿡°Ô¸¸ À¥ ÄÜÅÙÃ÷³ª ±â´Éµé¿¡ Á¢±ÙÇÒ ¼ö ÀÖµµ·Ï Çã°¡ÇØ ÁÖ´Â °ÍÀ¸·Î ÀϹÝÀûÀ¸·Î °ü¸®ÀÚ ÆäÀÌÁö¿¡ ´ëÇÑ Á¢±ÙÅëÁ¦°¡ ÇÊ¿äÇÏ´Ù.
°ü¸®ÀÚ ÆäÀÌÁö´Â À¥ ¼ºñ½ºÀÇ »ç¿ëÀÚ³ª µ¥ÀÌÅÍ, ÄÜÅÙÃ÷¸¦ ¼Õ½±°Ô °ü¸®Çϱâ À§ÇÑ ¸ñÀûÀ¸·Î ´Ù¾çÇÑ ±â´É°ú ±ÇÇÑÀ» °®°í ÀÖ°í À̴ ȨÆäÀÌÁöÀÇ ¿î¿µ¿¡ ¸Å¿ì Áß¿äÇÑ ¿ªÇÒÀ» ÇÏ°í ÀÖÀ¸¹Ç·Î ÀϹݻç¿ëÀÚ´Â ÀÎÁõÀ» Åë°úÇÏÁö ¸øÇϵµ·Ï ÇÒ »Ó ¾Æ´Ï¶ó ÀϹݻç¿ëÀÚ°¡ °ü¸®ÀÚ ÆäÀÌÁö¸¦ º¼ ¼ö ¾øµµ·Ï ÇØ¾ß ÇÑ´Ù. ±×·¯³ª ÀϹÝÀûÀ¸·Î ÃßÃøÇϱ⠽¬¿î URL(ex: /admin, /manager)À» »ç¿ëÇÏ°í ÀÖ¾î, ID/Æнº¿öµå¿¡ ´ëÇÑ Å©·¢ ¶Ç´Â Á¢±Ù Çã°¡ Á¤Ã¥¿¡ ´ëÇØ ¿äûÇÏ´Â ºÎºÐÀÇ Á¤º¸¸¦ º¯°æÇÔÀ¸·Î½á Á¢±ÙÀÌ °¡´ÉÇÑ °æ¿ì°¡ ¸¹´Ù. À¥ °ü¸®ÀÚÀÇ ±ÇÇÑÀÌ ³ëÃâµÉ °æ¿ì ȨÆäÀÌÁöÀÇ º¯Á¶»Ó¸¸ ¾Æ´Ï¶ó Ãë¾à¼º Á¤µµ¿¡ µû¶ó¼ À¥ ¼¹öÀÇ ±ÇÇѱîÁöµµ ³ëÃâµÉ À§Ç輺ÀÌ Á¸ÀçÇÑ´Ù.
°ü¸®ÀÚ ÆäÀÌÁö¿¡ ´ëÇÑ °ü¸® Çã¼ú
À§Çù »ç·Ê¸¦ »ìÆ캸¸é ´ëºÎºÐÀÇ °ü¸®ÀÚ ÆäÀÌÁö´Â ¡®http://www.test.com/admin¡¯ µî°ú °°ÀÌ ½±°Ô ÃßÃøÀÌ °¡´ÉÇÏ´Ù. ¶Ç ÀÎÁõ °úÁ¤ÀÌ Á¸ÀçÇÏ´õ¶óµµ SQL Injection, JavaScript º¯Á¶ µîÀÇ Ãë¾àÁ¡À» ÀÌ¿ëÇØ ÀÎÁõ°úÁ¤À» ¿ìȸÇÏ¿© À¥ °ü¸®ÀÚ ±ÇÇÑÀ» ȹµæ ÇÒ ¼ö ÀÖ´Ù.
ÀÌ¿¡ ´ëÇÑ º¸È£ ´ëÃ¥À¸·Î´Â ÀϹݻç¿ëÀÚÀÇ Á¢±ÙÀÌ ºÒÇÊ¿äÇÑ °ü¸®ÀÚ ·Î±×ÀÎ ÆäÀÌÁö ÁÖ¼Ò¸¦ À¯ÃßÇϱ⠾î·Á¿î À̸§À¸·Î º¯°æÇÑ´Ù.
Áß¿äÇÑ Á¤º¸¸¦ °¡Áø À¥ ¼¹öÀÇ Æ¯Á¤ ÆäÀÌÁöµéÀº °ü¸®ÀÚ ¶Ç´Â ƯÁ¤ »ç¿ëÀÚ¸¸ Á¢±ÙÇÒ ÇÊ¿ä°¡ ÀÖ´Ù. ¹Ýµå½Ã ±×·¡¾ß ÇÑ´Ù. ÀÌ·¯ÇÑ ÁÖ¿ä ÆäÀÌÁöµéÀº À¥ ¼¹ö¿¡¼ ÀûÀýÇÑ ¼³Á¤À» ÅëÇØ Æ¯Á¤ »ç¿ëÀÚ¸¸ Á¢±ÙÀÌ °¡´ÉÇϵµ·Ï »ç¿ëÀÚ Á¢±ÙÁ¦ÇÑÀ» ÇÒ ¼ö ÀÖ´Ù.
À¥ ¼¹ö º¸È£ ´ëÃ¥
º°µµÀÇ ³×Æ®¿öÅ© ¹üÀ§·Î IP ·¹º§ÀÇ Á¢±Ù ±ÇÇÑÀ» ¼³Á¤ÇÏ°í À¥ °ü¸®ÀÚ ¸Þ´ºÀÇ Á¢±ÙÀ» Á¦ÇÑÇϸç À¥ °ü¸®ÀÚÀÇ ÀÎÅÍÆäÀ̽º´Â ƯÈ÷, SSL±â¼úÀ» ÀÌ¿ëÇØ HTTP over SSL°ú °°Àº Data Transaction ¾Ïȣȸ¦ ¹Ýµå½Ã Àû¿ëÇØ¾ß ÇÑ´Ù.
°¡´ÉÇÏ´Ù¸é, VPN°ú °°Àº ³×Æ®¿öÅ© Â÷¿øÀÇ º°µµ º¸¾È½Ã½ºÅÛÀÇ ¼³Ä¡µµ °í·ÁÇÒ ÇÊ¿ä°¡ ÀÖ´Ù.
¶ÇÇÑ, °ü¸®ÀÚ °èÁ¤À¸·Î´Â ¿ÜºÎ »çÀÌÆ®¿¡¼ Á¢±ÙÇÏ´Â °ÍÀ» Çã¿ëÇÏÁö ¾Ê´Â °ÍÀÌ ¹Ù¶÷Á÷ÇÏ´Ù. ´ëºÎºÐÀÇ È¨ÆäÀÌÁö¿¡¼ °ü¸®ÀÚ °èÁ¤¿¡ ¸¹Àº ±ÇÇÑÀ» ºÎ¿©ÇÏ°í ÀÖ´Â °æ¿ì°¡ ¸¹°í, ÀÏ¹Ý »ç¿ëÀÚ¿ë °Ô½ÃÆÇ°ú´Â ´Þ¸® °ü¸®ÀÚ¿ë °Ô½ÃÆÇÀÇ °æ¿ì¿¡´Â º°µµ °ü¸®°¡ ¾ÈµÇ°í ÀÖ´Â °æ¿ì°¡ ¸¹¾Æ °ü¸®ÀÚ °èÁ¤ ±ÇÇÑ È¹µæ ½Ã ȨÆäÀÌÁö ½Ã½ºÅÛÀÇ ±ÇÇÑȹµæÀ¸·Î ÀÌ·ç¾îÁö±â ½±±â ¶§¹®ÀÌ´Ù.
µû¶ó¼ °ü¸®ÀÚ ÆäÀÌÁöÀÇ °æ¿ì, »ç³» IP¿¡¼¸¸ Á¢±ÙÀÌ °¡´ÉÇϵµ·Ï ¼³Á¤ÇÏ°í, ¸¸ÀÏ ¿ÜºÎ °ü¸®ÀÚÀÇ Á¢±ÙÀÌ ¹Ýµå½Ã ÇÊ¿äÇÑ °æ¿ì¶ó¸é, »çÀÌÆ® °ü¸® ±ÇÇÑÀ» ¿ÜºÎ·Î ¿¾îÁÖÁö ¾Ê°íµµ °¡´ÉÇÑ VPN ±â¼úÀ» »ç¿ëÇÏ¸é ¿ÜºÎ °ü¸®ÀÚ°¡ ȸ»ç ³»ºÎ(ȤÀº »çÀÌÆ®) ³×Æ®¿öÅ©·Î Á¢±ÙÇÒ ¼ö ÀÖÀ¸¸ç, °ü¸®ÀÚ´Â º¸È£µÈ ¹é¿£µå ¿¬°áÀ» ÅëÇØ »çÀÌÆ®¿¡ Á¢±ÙÇÒ ¼ö ÀÖ´Ù.
ÇÑÆí admin, manager µî°ú °°ÀÌ ÃßÃøÇϱ⠽¬¿î µð·ºÅ丮 ¸íÀ̳ª ÆÄÀϸíÀ» »ç¿ëÇÏÁö ¾Ê´Â °ÍÀÌ ¹Ù¶÷Á÷ÇÏ°í °ü¸®ÀÚ ÆäÀÌÁöÀÇ °æ¿ì, °ü¸®ÀÚ È£½ºÆ® IP¸¸ Á¢±Ù °¡´ÉÇϵµ·Ï ¼³Á¤ÇØ¾ß ÇÑ´Ù.
http://www.abc.com/admin.html
http://www.abc.com/admin_main.html
http://www.abc.com/admin/index.html
http://www.abc.com/admin/login.html
http://www.abc.com/master.html
http://www.abc.com/master/index.html
IIS À¥ ¼¹ö¿¡¼ º¸È£ ´ëÃ¥
¾Æ·¡ÀÇ ¹æ¹ýÀ¸·Î [°ü¸®ÀÚ ÆäÀÌÁö] Á¢±ÙÀ» Á¦ÇÑÇغ¸ÀÚ.
¨ç¼³Á¤¡æÁ¦¾îÆÇ¡æ°ü¸®µµ±¸¡æÀÎÅÍ³Ý ¼ºñ½º °ü¸®ÀÚ ¼±ÅÃ
¨èÇØ´ç °ü¸®ÀÚ ÆäÀÌÁö Æú´õ¿¡ ¿À¸¥ÂÊ Å¬¸¯À» ÇÏ°í µî·ÏÁ¤º¸¡æµð·ºÅ丮 º¸¾È¡æIP ÁÖ¼Ò ¹× µµ¸ÞÀÎ À̸§ Á¦ÇÑ¡æÆíÁý ¹öÆ°À» Ŭ¸¯
¨é¾×¼¼½º °ÅºÎ¸¦ ¼±ÅÃÇÏ°í Ãß°¡ ¹öÆ°À» Ŭ¸¯ÇÏ¿© °ü¸®ÀÚ È£½ºÆ®IP ¶Ç´Â ¼ºê³ÝÀ» µî·Ï
Apache À¥ ¼¹ö¿¡¼ º¸È£ ´ëÃ¥
Apache À¥ ¼¹öÀÇ È¯°æ¼³Á¤ ÆÄÀÏÀÎ httpd.conf ÆÄÀÏÀÇ Directory ¼½¼ÇÀÇ AllowOverride Áö½ÃÀÚ¿¡¼ AuthConfig ¶Ç´Â All Ãß°¡ÇÏ¿© .htaccess¸¦ ÅëÇÏ¿© »ç¿ëÀÚ°èÁ¤, »ç¿ëÀÚ Æнº¿öµå¸¦ µî·ÏÇÑ »ç¿ëÀÚ¸¸ Á¢±ÙÀÌ °¡´ÉÇϵµ·Ï ÇÏ°í °ü¸®ÀÚ µð·ºÅ丮(admin)¿¡ ´ëÇØ Æ¯Á¤ IP¿¡ ´ëÇؼ¸¸ Á¢±ÙÀÌ °¡´ÉÇϵµ·Ï Çϱâ À§Çؼ ´ÙÀ½°ú °°ÀÌ ¼³Á¤ÇÑ´Ù.
<Directory /home/www/admin/> AllowOverride AuthConfig (¶Ç´Â All) Order deny, allow Deny from all Allow from 10.10.100.7 10.10.2.1/24 </Directory> # ¸ÕÀú Á¢±ÙÀ» Á¦¾îÇÏ°íÀÚ ÇÏ´Â µð·ºÅ丮¿¡ ´ëÇÑ »óÀ§ µð·ºÅ丮 Á¤ÀÇ¿¡ # AllowOverride ºÎºÐÀÌ 'All', 'AuthConfig', 'FileInfo' µîÀ¸·Î ¼³Á¤µÇ¾î ÀÖ¾î¾ß ÇÑ´Ù. <Directory "Á¢±ÙÀ» Á¦¾îÇÏ°íÀÚ ÇÏ´Â µð·ºÅ丮"> ...... AllowOverride FileInfo AuthConfig Limit ...... </Directory> ...... AccessFileName .htaccess <Files ~ "^\ht"> Order allow, deny Deny from all </Files>
<.htaccess> AuthName "ÀÎÁõÀÌ ÇÊ¿äÇÑ °ü¸®ÀÚ ÆäÀÌÁö ÀÔ´Ï´Ù." AuthType Basic AuthUserFile /home/www/admin/.htpasswd AuthGroupFile /dev/null require valid-user Order deny, allow Deny from all Allow from 10.10.100.7 10.10.2.1/24 |
°ü¸®ÀÚ ÆäÀÌÁö¿Í °°ÀÌ ÀÎÁõÀÌ ÇÊ¿äÇÑ µð·ºÅ丮¿¡ .htaccess ÆÄÀÏÀ» ¸¸µé°í admin °èÁ¤ÀÇ Æнº¿öµå¸¦ ´ÙÀ½°ú °°ÀÌ ¼³Á¤ÇÑ´Ù. À§¿Í °°ÀÌ ¼³Á¤ ÈÄ ~apache/bin/htpasswd¸¦ ÀÌ¿ëÇÏ¿© »ç¿ëÀÚÁ¤º¸ ÆÄÀÏ(.htpasswd)À» »ý¼ºÇÑ´Ù.
# ~apache/bin/htpasswd -c /home/www/admin/.htpasswd [»ç¿ëÀÚ¸í] New password: *********** Re-type new password: *********** Adding password for user [»ç¿ëÀÚ¸í] # |
¡Ø ÁÖÀÇ»çÇ×
¨ç Apache ¼¹öÀÇ °æ¿ì AllowOverride Áö½ÃÀÚ¸¦ º¯°æ½Ã apache restart°¡ ÇÊ¿äÇÏ´Ù.
¨è °ü¸®ÀÚ ÆäÀÌÁöÀÇ µð·ºÅ丮¸íÀ» º¯°æ½Ã À¥ ÇÁ·Î±×·¥¿¡¼ °ü¸®ÀÚ µð·ºÅ丮ÀÇ °æ·Î¸íÀ» ÁöÁ¤ÇÏ°í ÀÖ´Â °æ¿ì À¥ ÇÁ·Î±×·¥ ¶ÇÇÑ ¼öÁ¤ÇØ¾ß ÇÑ´Ù.
¨é °ü¸®ÀÚ ÆäÀÌÁö À¥ ¼¹ö ÀÎÁõ ¼³Á¤½Ã °ü¸®ÀÚ µð·ºÅ丮¿¡´Â ÀÏ¹Ý »ç¿ëÀÚÀÇ Á¢±ÙÀÌ ÇÊ¿äÇÑ ÆÄÀÏÀÌ Á¸ÀçÇÏÁö ¾Ê¾Æ¾ß ÇÑ´Ù.
°³¹ß ¾ð¾îº° ´ëÃ¥
À¥ °ü¸®ÀÚ ¸Þ´ºÀÇ Á¢±ÙÀ» ƯÁ¤ ³×Æ®¿öÅ© ´ë¿ªÀ¸·Î Á¦ÇÑÇÏ¿©, IP Address±îÁöµµ ÀÎÁõ¿ä¼Ò·Î üũÇϵµ·Ï À¥ °ü¸®ÀÚ »ç¿ëÀÚÀÎÅÍÆäÀ̽º¸¦ °³¹ßÇÏ°í, °ü¸®ÀÚ ÀÎÁõ ÈÄ Á¢¼ÓÇÒ ¼ö ÀÖ´Â ÆäÀÌÁöÀÇ °æ¿ì ÇØ´ç ÆäÀÌÁö ÁÖ¼Ò¸¦ Á÷Á¢ ÀÔ·ÂÇØ µé¾î°¡Áö ¸øÇϵµ·Ï °ü¸®ÀÚ ÆäÀÌÁö °¢°¢¿¡ ´ëÇÏ¿© °ü¸®ÀÚ ÀÎÁõÀ» À§ÇÑ ¼¼¼Ç°ü¸®¸¦ ÇØ¾ß ÇÑ´Ù.
¶Ç Çϳª Á¢±Ù ÅëÁ¦ Á¤Ã¥À» ±¸ÇöÇÏ°í ÀÖ´Â ÄÚµå´Â ±¸Á¶È, ¸ðµâÈ°¡ µÇ¾î ÀÖ¾î¾ß ÇÏ°í Á¢±ÙÁ¦¾î°¡ ÇÊ¿äÇÑ ¸ðµç ÆäÀÌÁö¿¡ ÅëÁ¦¼ö´Ü(·Î±×ÀΠüũ ¹× ±ÇÇÑ Ã¼Å©)À» ±¸ÇöÇØ¾ß ÇÑ´Ù. ƯÈ÷ ÇϳªÀÇ ÇÁ·Î¼¼½º°¡ ¿©·¯ °³ÀÇ ÆäÀÌÁö ¶Ç´Â ¸ðµâ·Î ÀÌ·ç¾îÁ® ÀÖÀ» ¶§ ±ÇÇÑ Ã¼Å©°¡ ´©¶ôµÇ´Â °æ¿ì¸¦ ¹æÁöÇϱâ À§Çؼ °øÅë ¸ðµâÀ» »ç¿ëÇÏ´Â °ÍÀ» ±ÇÀåÇÑ´Ù.
¶Ç, ÀÎÁõ °úÁ¤À» ó¸®ÇÏ´Â ºÎºÐ¿¡ Client Side Script(Javascript, VBScript µî)¸¦ »ç¿ëÇÏ¸é »ç¿ëÀÚ°¡ ÀÓÀÇ·Î ¼öÁ¤ÇÒ ¼ö ÀÖÀ¸¹Ç·Î Server Side Script (PHP, ASP, JSP µî)¸¦ ÅëÇØ ÀÎÁõ ¹× ÇÊÅ͸µ °úÁ¤ÀÌ ¼öÇàµÇ¾î¾ß ÇÑ´Ù.
¡áÃë¾àÇÑ ÇÁ·Î±×·¡¹Ö ¿¹
<HTML> <HEAD><TITLE> °ü¸®ÀÚ ÆäÀÌÁö </TITLE> <SCRIPT language="JavaScript¡°> function getCookie(name) var cname = name +"="; var dc = document.cookie;
if(dc.length > 0) begin = dc.indexOf(cname); if(begin != -1) begin += cname.length; end = dc.indexOf(";", begin);
if(end == -1) end = dc.length; retrun unescape(dc.substring(begin, end));
return null;
function getValue(element) var value = getCookie(element.name); if(value != null) element.value = value;
</SCRIPT> </HEAD> <BODY> <SCRIPT language="JavaScript¡°> var auth; auth = getCookie("logged_in");
if(auth != 1) // ÀÎÁõ ¼º°ø ÄíÅ°°¡ ¾øÀ»°æ¿ì Main Page·Î À̵¿ window.location = "http://victim.com/login.html";
</SCRIPT>
°ü¸®ÀÚ ÆäÀÌÁö ³»¿ë |
¡á¾ÈÀüÇÑ ÇÁ·Î±×·¡¹Ö ¿¹
¡ÝASP
<% If myfunc_userauth(userid, userpw) <> 1 Then 'DB¿¡¼ »ç¿ëÀÚ ÀÎÁõÀ» ó¸® Response.write "ÀÎÁõ ½ÇÆÐ" Else If Request.ServerVariables("REMOTE_ADDR") <> "10.10.1.1" Then' °ü¸®ÀÚ IP È®ÀÎ Response.write "°ü¸®ÀÚ IP°¡ ¾Æ´Õ´Ï´Ù." Response.write "ÀÎÁõ½ÇÆС° LogSave(userid, user_ip, 0)'Á¢¼Ó¿¡ ½ÇÆÐÇÑ ID ¹× IP ±â·Ï Else Session("logged_in") = 1'ÀÎÁõ¿¡ ¼º°øÇßÀ»°æ¿ì logged_in ¿¡ 1ÀÇ °ªÀ» ¼ÂÆà Session("userid") = userid Session("user_ip") = Request.ServerVariables("REMOTE_ADDR")
LogSave($userid, $user_ip)'Á¢¼Ó¿¡ »ç¿ëÇÑ ID ¹× IP ±â·Ï
... Áß·« ... End If End If %> |
¡ÝPHP
<?PHP @session_start(); //¼¼¼Ç µ¥ÀÌÅ͸¦ ÃʱâÈ if(!myfunc_userauth($userid, $userpw) || $_SERVER["REMOTE_ADDR'] != "10.10.1.1") //DB ¿¡¼ »ç¿ëÀÚ ÀÎÁõÀ» ó¸®, °ü¸®ÀÚ IPÀÎÁö È®ÀÎ print "ÀÎÁõ ½ÇÆÐ"; LogSave(userid, user_ip, 0)'Á¢¼Ó¿¡ ½ÇÆÐÇÑ ID ¹× IP ±â·Ï exit;//ÀÎÁõ ½ÇÆнà Á¾·á
//ÀÎÁõ¿¡ ¼º°øÇÑ °æ¿ì ó¸® ÇØ¾ß µÇ´Â ºÎºÐ if (!session_is_registered("logged_in"))
$logged_in = 1;//ÀÎÁõ¿¡ ¼º°øÇßÀ»°æ¿ì logged_in ¿¡ 1ÀÇ °ªÀ» ¼ÂÆà $user_ip = $_SERVER["REMOTE_ADDR"]; session_register("logged_in");//ÀÎÁõ °á°ú ÀúÀå session_register("userid");//»ç¿ëÀÚ ID¸¦ ÀúÀå session_register("user_ip");//»ç¿ëÀÚ IP¸¦ ÀúÀå
LogSave($userid, $user_ip);// Á¢¼ÓÇÑ »ç¿ëÀÚ ID ¹× IP ±â·Ï ... Áß·« ... |
¡ÝJSP
<%@ page contentType="text/html;charset=euc-kr" %> <%@ page import="java.util.* " %> <%@ page import="java.sql.* " %> <% //HttpSession session = request.getSession(true); String user_ip = request.getRemoteAddr();
// form ¿¡¼ »ç¿ëÀÚ id¿Í »ç¿ëÀÚ password¸¦ ¾Æ·¡ º¯¼ö·Î Àü´Þ if(!myfunc_userauth(userid, userpw) || !user_ip.equals("10.10.1.1")) //DB ¿¡¼ »ç¿ëÀÚ ÀÎÁõÀ» ó¸®, °ü¸®ÀÚ IPÀÎÁö È®ÀÎ out.println "ÀÎÁõ ½ÇÆÐ"; LogSave(userid, user_ip, 0)'Á¢¼Ó¿¡ ½ÇÆÐÇÑ ID ¹× IP ±â·Ï else //ÀÎÁõ¿¡ ¼º°øÇÑ °æ¿ì ó¸® ÇØ¾ß µÇ´Â ºÎºÐ session.putValue("logged_in","logok"); session.putValue("userid",userid); session.putValue("user_ip", user_ip);
LogSave(userid, user_ip);// Á¢¼ÓÇÑ »ç¿ëÀÚ ID ¹× IP±â·Ï ... |
[±æ¹Î±Ç ±âÀÚ(boannews@infothe.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>