시큐어 코딩 : 사용자 입력 값 검증 로직 구현 1) 개요   Project:Web Site 웹 사이트 게시판에서 작성하는 게시글에서 발견된 크로스사이트 스크립팅(XSS) 취약점을 방지하기 위하여 대응 방안 중 하나인 사용자 입력 값 검증 로직을 구현하여 실제로 크로스사이트 스크립팅(XSS) 취약점을 방지할 수 있는지 확인한다.  2) 방법   Project:Web Site 웹 사이트에서 게시판에서 작성하는 게시글 제목, 내용을 입력하는 사용자 입력 값에 스크립트를 삽입하여 클라이언트 웹 브라우저에서 게시판과 게시글 상세정보 페이지를 요청하면 스크립트가 작동하는 것을 확인할 수 있다. 이는 XSS 취약점 종류 중 Stored XSS에 해당하며 게시글 작성 혹은 수정 시 입력되는 제목, 내용 사용자 입력 ..

대응 방안 (feat.주요통신기반시설) 1) 점검 방법   크로스사이트 스크립팅(XSS) 취약점을 점검하는 방법은 다음과 같다. 사용자 입력 값을 전달받는 애플리케이션(회원정보 변경, 게시판, 댓글, 자료실 등)에 스크립트 입력 후 실행되는지 확인사용자 입력 값을 전달받는 애플리케이션(검색, URL)에 스크립트 입력 후 실행되는지 확인  2) 보안설정방법   크로스사이트 스크립팅(XSS) 취약점에 대한 대응 방안은 다음과 같다. 웹 사이트에 사용자 입력 값이 저장되는 페이지는 공격자가 웹 브라우저를 통해 실행되는 스크립트 언어(HTML, Javascript, VBScript 등)를 사용하여 공격하므로 해당되는 태그 사용을 사전에 제한하고, 사용자 입력 값에 대한 필터링 작업이 필요함게시물의 본문뿐만 아니..

시큐어 코딩 : 에러코드 별 에러처리 루틴 설정 1) 개요   Project:Web Site 웹 사이트 에러 페이지에서 발견된 정보 누출 취약점을 방지하기 위하여 대응 방안 중 하나인 에러코드 별 에러처리 루틴을 설정하여 실제로 정보 누출 취약점을 방지할 수 있는지 확인한다.  2) 방법   Project:Web Site 웹 사이트에서 에러가 발생하면 출력되는 에러 페이지에서 웹 서버 버전이 노출되는 것을 확인할 수 있다. 이는 웹 서버마다 설정 파일이 존재하며 해당 파일에서 출력되는 에러코드에 따라 에러 페이지를 커스텀하여 웹 서버 버전 정보가 노출되는 것을 방지할 수 있다. 본 웹 사이트는 Apache를 사용하므로 설정 파일인 httpd.conf에서 ErrorDocument 옵션 값을 설정하여 에러코..

시큐어 코딩 : 웹 서버 버전 노출 방지 1) 개요   Project:Web Site 웹 사이트 에러 페이지에서 발견된 정보 누출 취약점을 방지하기 위하여 대응 방안 중 하나인 웹 서버 설정 파일을 변경하여 실제로 정보 누출 취약점을 방지할 수 있는지 확인한다.  2) 방법   Project:Web Site 웹 사이트에서 에러가 발생하면 출력되는 에러 페이지에서 웹 서버 버전이 노출되는 것을 확인할 수 있다. 이는 웹 서버마다 설정 파일이 존재하며 해당 파일에서 웹 서버 버전 노출 정도를 설정하는 것으로 해결할 수 있다. 본 웹 사이트는 Apache를 사용하므로 설정 파일인 httpd.conf에서 ServerTokens, ServerSignature 옵션 값을 조정하여 웹 서버 버전 노출 정도를 설정한다..

대응 방안 (feat.주요통신기반시설) 1) 점검 방법   정보 누출 취약점을 점검하는 방법은 다음과 같다. 웹 사이트에 중요정보가 평문으로 노출되고 있는지 확인웹페이지에 마스킹된 중요정보가 웹페이지 소스에 평문으로 노출되고 있는지 확인에러 메시지 또는 에러 페이지에서 과도한 정보가 노출되는지 확인인코딩 된 중요정보는 디코딩 가능한지 확인임의의 계정으로 로그인을 시도하여 반환되는 에러 메시지를 통해 특정 ID의 가입 여부를 식별할 수 있는지 확인 2) 보안설정방법   정보 누출 취약점에 대한 대응 방안은 다음과 같다. 사용자가 주민등록번호 뒷자리, 비밀번호 입력 시 별표 표시하는 등 마스킹 처리를 하여 주변 사람들에게 노출되지 않도록 함개인정보의 조회, 출력 시 아래와 같은 원칙으로 일부 정보에 마스킹을..

시큐어 코딩 :  웹 서버 설정 파일 변경 1) 개요   Project:Web Site 웹 사이트 upload_folder와 upload_folder/사용자 계정 디렉터리에서 발견된 디렉터리 인덱싱 취약점을 방지하기 위하여 대응 방안 중 하나인 웹 서버 설정 파일을 변경하여 실제로 디렉터리 인덱싱 취약점을 방지할 수 있는지 확인한다.  2) 방법   Project:Web Site 웹 사이트에서 upload_folder와 upload_folder/사용자 계정은 해당 웹 사이트에서 업로드된 파일이 저장되는 위치다. 웹 서버마다 설정 파일이 존재하며 해당 파일에서 디렉터리 리스팅 허용 여부를 설정할 수 있다. 본 웹 사이트는 Apache를 사용하므로 설정 파일인 httpd.conf에서 디렉터리 리스팅 허용 여..