[보안 해킹] 홈페이지 개발 보안 - 취약한 암호화 알고리즘 사용
■ 취약점 설명
- 중요정보를 암호화하기 위해 사용되는 방법이 인코딩(또는 암호화)을 하는데 취약한 인코딩 방법(예 : base64) 및 암호화 알고리즘(예 : RC2, RC4, RC5, MD4, SHA1, DES 등)을 사용할 경우, 공격자가 해독기 가능하여 중요정보가 노출될 수 있는 취약점
■ 보안대책
⑴ 개인정보 등 중요정보를 보호하기 위해 사용하는 암호 알고리즘[참고] 적용시, IT보안인증 사무국이 안전성을 확인한 검증필 암호모듈 사용
<참고> 패스워드 생성 보안 로직 권고사항
※ 출처 : 암호 알고리즘 검증기준 Ver 2.0 (2012. 3), 암호모듈 시험기관(IT 보안인증 사무국)
■ 코드예제
- 메세지(msg)를 취약한 DES 알고리즘으로 암호화 진행
- 안전하다고 알려진 암호화 알고리즘(SEED)를 사용하여 암호화 진행
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Security > Hacking & Security' 카테고리의 다른 글
| [보안 해킹] 홈페이지 개발 보안 - 주석을 통한 정보 노출 (0) | 2016.11.03 |
|---|---|
| [보안 해킹] 홈페이지 개발 보안 - 취약한 패스워드 복구 (0) | 2016.11.03 |
| [보안 해킹] 홈페이지 개발 보안 - 쿠키변조 (3) | 2016.11.01 |
| [보안 해킹] 홈페이지 개발 보안 - 데이터 평문전송 (0) | 2016.10.31 |
| [보안 해킹] 홈페이지 개발 보안 - 불충분한 세션관리 (0) | 2016.10.31 |