[보안 해킹] 홈페이지 보안 취약점 - 전송 시 주요정보 노출 취약점
■ 취약점 설명 및 사례
⑴ 취약점 설명
- 프로그램이 보안과 관련된 민감한 데이터를 평문으로 통신채널을 통해서 송수신 할 경우, 통신채널 스니핑을 통해 인가되지 않은 사용자에게 민감한 데이터가 노출될 수 있는 취약점
⑵ 사례
① OO기관은 로그인 과정에서 사용자와 서버간의 통신 정보가 암호화되지 않아 감청을 통해 사용자 정보 획득이 가능
■ 점검방법
⑴ 점검 대상 웹서버의 로그인 페이지로 이동
※ 로그인 과정상에서 I-PIN, 전자서명인증서를 사용할 경우 취약점이 존재하지 않음
(단, ID 비밀번호를 병행할 경우 취약할 수 있음)
⑵ 네트워크 패킷 모니터링 프로그램을 이용하여 로그인 과정상에서 발생하는 네트워크 트래픽을 저장
※ 공개용 패킷 모니터링 프로그램 : Wireshark (http://www.wireshark.org) - 설명서 올리도록 하겠습니다.^^
⑶ 로그인 후 네트워크 패킷 모니터링 프로그램을 통해 로그인 시 저장된 인증 정보를 찾아 암호화 여부를 확인
■ 대응방안
⑴ 웹 서버 내에서의 조치
① 웹 서버는 전자서명인증서, SSL(Secure Socket Layer)을 이용하여 사용자 식별 및 DATA 전송 시 암호화 통신으로 데이터 전송의 안전성을 확보
② 조치 완료 후 인증과정 등의 주요 정보 노출 여부를 재점검
⑵ 홈페이지 개발 보안 조치
① 홈페이지는 중요정보와 관련된 민감한 데이터(개인정보, 비밀번호 등) 전송 시 통신채널(또는 전송데이터) 암호화적용
※ 제 글중 홈페이지 개발 보안 방안 - 데이터 평문 전송을 참조, 소스코드를 수정하여 보안취약점을 조치하시길 바람
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Security > Hacking & Security' 카테고리의 다른 글
| [보안 해킹] 홈페이지 보안 취약점 - 파일 업로드 취약점 (0) | 2016.10.12 |
|---|---|
| [보안 해킹] 홈페이지 보안 취약점 - 파일 다운로드 취약점 (0) | 2016.10.11 |
| [보안 해킹] 홈페이지 보안 취약점 - 실명인증 취약점 (0) | 2016.10.10 |
| [보안 해킹] 홈페이지 보안 취약점 - 계정관리 취약점 (0) | 2016.10.08 |
| [보안 해킹] 홈페이지 보안 취약점 - 취약한 파일 존재 (0) | 2016.10.07 |
