웹 서비스 보안 취약점과 예방 방법 총정리

홈페이지 변조 대응 방안

1. WebDAV 취약점 예방법

1. 불필요한 경우 WebDAV 서비스를 중지한다.

2. 운영체제 및 IIS 버전을 업그레이드한다.

3. httpext.dll 파일의 Everyone 권한을 제거한다.

4. 홈 디렉토리 메뉴의 쓰기 권한을 제거한다.

2. 파일 업로드 취약점 예방법

1. 오픈소스 게시판은 최신 보안 패치를 적용한다.

2. 파일 업로드를 제한한다 (허용 확장자, 쓰기 권한, 첨부파일 기능 등).

3. 업로드 파일에 대한 실행 권한을 제거한다.

4. 업로드 파일 저장 시 파일명을 임의로 변경한다.

5. 업로드 허가 금지 확장자 목록을 지정한다.
   (.php, .jsp, .asp, .cgi, .js, .py, .in, .pl 등)

악성코드 유포

공격자는 사용자가 인지하지 못한 채 악성코드를 감염시키기 위해 사용자 PC에 설치된 프로그램의 취약점을 악용한다.
문서편집기, 자바(Java), 플래시 플레이어, 브라우저(IE 등)와 같은 프로그램들의 복합적인 취약점을 이용하여 악성 스크립트를 실행시키고 악성코드에 감염시킨다.
최근에는 랜섬웨어(파일 암호화)를 유포하여 금전적 이득을 취하려는 공격이 증가하고 있다.

악성코드 유형

- 랜섬웨어: 28.3%
- 정보유출: 17.1%
- 다운로더: 10.1%

디도스(DDoS) 공격 대응

웹서버 및 방어 장비의 자원 수준을 명확히 파악한다.
자원에 대한 지속적인 모니터링을 실시하고, 변화하는 공격 유형에 맞게 차단 정책을 개선한다.

웹 보안 강화

파일 업로드 디렉토리에서는 실행 권한을 제거한다.
일부 확장자만 업로드를 허용하고, 업로드 파일 저장 시 파일명과 확장자를 추측할 수 없도록 치환하여 저장한다.

XML Injection 및 HTTP 응답 분할 대응

1. ' 또는 " 와 같은 태그의 속성으로 사용되는 값이나 특수문자는 XML 파싱 오류를 발생시킨다.
2. <, > 같은 XML 태그 구성 요소는 문서 구조 오류를 유발할 수 있다.
3. <!--, --> 와 같은 주석 문법은 XML 구조 오류를 유발한다.
4. & 와 같은 Entity 표현 문장이 인코딩되지 않으면 “세미콜론으로 종료되지 않음” 오류가 발생한다.
5. ]]> 는 <![CDATA[]]> 사용 시 내부에 포함되면 구조 오류가 발생한다.
6. 사용자 입력을 받는 input 노드에서는 Script 문법이 포함되지 않도록 주의한다.
7. URL로 GET 요청 시 파라미터에 Script 문법이 포함되지 않도록 한다.
8. URL 주소에 쿠키 정보가 노출되지 않도록 유의한다.