2020. 07. 08어플리케이션(3)

웹 서버 취약점

디렉토리 리스팅

 웹 브라우저상에 해당 디렉터리 내의 디렉터리/파일 정보가 그대로 노출되는 것을 볼 수 있다.

대응법

httpd.conf파일에 내용을

 Options Indexs --> Options None으로 바꿔준다.

Tomcat에서는 listings를 False로 설정한다.

검색엔진 정보 노출 취약점

검색엔진에 의해 웹사이트 해킹에 필요한 정보가 검색되어 해킹의 빌미가 제공되는 취약점

ex) robots.txt

user-agent: *

Disallow: / 

--> 모든 검색로봇에 대해 웹사이트 전체에 대한 접근을 차단

user-agent: googlebot

user-agent: Yeti

Disallow:

--> googlebot, Yeti검색로봇에 대한 웹사이트 전체에 대한 접근 헝ㅇ

--> disallow의 빈 항목은 웹사이트 전체 허용과 동일

타임아웃 관련 설정

1. Timeout 120

--> 아무런 메시지가 발생하지 않을 동안의 대기 시간

2. KeepAlive On

--> 동일한 연결을 통해 동일 클라이언트의 다수 요청을 처리하는 기능의 사용 여부

3. MaxKeepAliveRequests 100

--> KeepAlive 기능 사용 시 클라이언트와 서버간에 연결을 지속시키는 동안 허용할 최대 요청 건수

4. KeepAliveTimeout 15

--> 마지막 요청 이후 다음 요청을 대기하는 시간, 추가요청이 발생하지 않으면 연결 종료

5. RequestReadTimeout header=5 body=10

--> 안나올거같음

웹 로그 분석

access_log = 홈페이지에 어떤 요청을 했는지

error_log = 없는 페이지 요청

데이터베이스 보안

집성(Aggregation)

 - 개별적인 여러 소스로부터 민감하지 않은 정보를 수집, 조합하여 민감한 정보를 생성

 - 낮은 보안등급의 정보조각을 조합하여 높은 등급의 정보를 알아내는 행위

추론(inference): 

 - 일반적인 데이터로부터 비밀정보를 획득할 수 있는 가능성을 의미

 - 사용자가 통계적인 데이터 값으로부터 개별적인 데이터 항목에 대한 정보를 추적하지 못하도록 하여야 함

접근 통제: DB사용자가 가진 접근 권한의 범위 내에서 데이터 접근을 허용하는 기술

추론 통제: 통계 정보 등 간접적으로 노출된 데이터를 통해서 민감/기밀 데이터가 유추되어 공개되는 것을 방지

흐름 통제: 접근이 가능한 객체들 간의 정보의 흐름을 조정하는 것

DB암호화 기술

1. API방식: 응용프로그램 자체 암호화

2. Plug-in방식: DB서버 암호화 방식

3. Hybrid방식: API방식과 Plug-in방식

클라우드 기반 보안 서비스: Secaas(Security as a Service)