'웹보안'에 해당되는 글 2건
- 2009.08.09 인증정보 노출
- 2009.03.11 [웹보안] 웹 어플리케이션 기본 모듈 제거
인증정보(사용자 아이디, 부서코드, 권한 등)를 쿠키나 세션에 저장한다.
쿠키에 저장하는 경우 조작이 가능하므로 암호화 처리가 필요하다.
중간에 정보를 가로채어서 조작이 가능하므로 최초 로그인시 아이피를 저장해 두었다가 비교하는 것도 필요하다.
이러한 작업을 필터나 컨트롤러, 공통 커맨드 등에서 처리해서 개발자가 코딩시에는 비지니스 로직에 집중하도록 할 필요가 있다.
- 세션 사용시
아이디, 아이피 --> 필터에서 아이피 점검 --> Request 에 저장
- 쿠키 사용시
아이디+아이피 --> 암호화 --> 필터에서 복호화, 아이피 점검, User 객체로 처리해서 Request 에 저장
쿠키에 저장하는 경우 조작이 가능하므로 암호화 처리가 필요하다.
중간에 정보를 가로채어서 조작이 가능하므로 최초 로그인시 아이피를 저장해 두었다가 비교하는 것도 필요하다.
이러한 작업을 필터나 컨트롤러, 공통 커맨드 등에서 처리해서 개발자가 코딩시에는 비지니스 로직에 집중하도록 할 필요가 있다.
- 세션 사용시
아이디, 아이피 --> 필터에서 아이피 점검 --> Request 에 저장
- 쿠키 사용시
아이디+아이피 --> 암호화 --> 필터에서 복호화, 아이피 점검, User 객체로 처리해서 Request 에 저장
- [웹보안] 웹 어플리케이션 기본 모듈 제거
- 日常茶飯事
- 2009. 3. 11. 00:16
웹 어플리케이션 서버 관리 또는 예제 모듈 제거
아래는 Tomcat Manager 를 이용해서 웹 어플리케이션을 배치해서 공격당한 경우임.
관리자 계정과 암호가 기본값으로 되어 있었을 것으로 예상됨.
관리 모듈(manager, admin) 및 예제 모듈(jsp-examples 등)을 삭제
기본 사용자를 삭제하고 관리자 아이디와 암호를 변경한다.
관리 모듈을 사용해야 한다면 모듈명을 변경하고 특정 아이피에서만 접근가능하도록 하는 등의 조치가 필요하다.
Recent comment