2007. 9. 14. 23:50ㆍ보고서/Security
Ps. SI나 웹에이전시에서 SITE 제작상에 알아두어야 할 부분이라 생각됩니다.
비공개 되어야 하는 것도 구글 검색에 나와서 난리가 나는 세상이다보니..
그 대응법으로 좋다고 정통부에서 책자 잘 만들었다고 생각됩니다.
홈페이지 개인정보노출 대응 안내책자
정보통신부, 2007.07.06
I. 인증 오류로 인한 노출
1. 개요 | 8
2. 문제점 | 8
가. 관리자 웹 어플리케이션의 각 모듈별 인증 부재
나. 관리자용 웹 어플리케이션 인증 일시 정지
3. 확인 방법 | 10
4. 대응 방법 | 12
[첨부] 인증오류를 방지하기 위한 올바른 소스코드(예)
II. 클라이언트 사이드 스크립트 인증으로 인한 노출
1. 개요 | 20
2. 문제점 | 20
3. 확인 방법 | 21
4. 대응 방법 | 23
[첨부] 서버 사이드에서의 표준 인증 구성(예)
III. 디렉터리 리스팅으로 인한 노출
1. 개요 | 30
2. 문제점 | 30
3. 확인 방법 | 30
4. 대응 방법 | 33
IV. 검색배제 표준 미적용으로 인한 노출
1. 개요 | 36
2. 노출원인 | 36
3. 확인 방법 | 37
4. 대응 방법 | 38
그림 목차
[그림 1-1] 관리자 웹 어플리케이션의 초기 인증 모듈 | 11
[그림 1-2] 관리자 웹 어플리케이션 모듈 (인증모듈의 부재) | 11
[그림 1-3] 관리자 웹 어플리케이션 초기 인증 모듈 | 12
[그림 1-4] 관리자 웹 어플리케이션 모듈 개별 접근 | 13
[그림 2-1] 구글의 캐시DB에 노출된 클라이언트 사이드 스크립트 인증 페이지 | 22
[그림 2-2] 클라이언트 사이드 스크립트 인증 시 같이 전송된 페이지 | 22
[그림 3-1] 디렉터리 리스팅 취약점 화면 | 31
[그림 3-2] 구글의 고급 검색에서 디렉터리 리스팅 확인 방법(예) | 32
[그림 3-3] 구글 검색엔진에 노출된 디렉터리 리스팅 취약점 화면 | 32
[그림 3-4] 웹 사이트 등록 정보의 디렉터리 리스팅 기능 차단 화면 | 33
[그림 3-5] httpd.conf 파일에서 디렉터리 리스팅 기능 차단 방법 | 35
[그림 4-1] 웹브라우저에서 robots.txt 확인 방법(예) | 37
부록 :
1. 개인정보노출과 관련이 있는 주요 웹 취약점 | 42
2. 로봇배제 표준(robots.txt 및 meta tag) 적용 방법 | 45
3. 구글의“자동 URL 삭제 시스템”사용 방법 | 53
'보고서 > Security' 카테고리의 다른 글
국내 정보보호 시장 동향과 전망 : 2008.01.29 KIPA (0) | 2008.02.21 |
---|---|
Web 2.0 시대의 보안 : 2007_10_17 안철수연구소 (0) | 2007.12.30 |
P2P불법유해정보차단대책 : 2007.07.31 정보통신부 (0) | 2007.09.22 |
P2P (Peer-to-Peer) 보안 표준화 동향 : 2007.06.15 한국정보통신기술협회 (0) | 2007.09.18 |
DRM 기술 동향 : 2007.08.15 한국전자통신연구원 ETRI (2) | 2007.09.13 |