데이터 평문 전송
개념
통신간 암호화를 하지않아 발생하는 취약점입니다.
발생 원인
통신간 암호화를 하지않아 발생하는 취약점입니다.
위험한 이유
암호화를 하지 않으면 스니핑 같은 간단한 도청에도 정보를 탈취 혹은 도용할 수 있습니다.
조치 방법
- 웹상에서의 전송 정보를 제한하여 불필요한 비밀번호, 주민번호, 계좌정보와 같은 중요정보의 전송을 최소화하여야 하며, 중요정보에 대해서는 반드시 SSL등의 암호화 통신을 사용하여 도청으로부터의 위험을 제거합니다.
- 쿠키와 같이 클라이언트 측에서 노출되는 곳에 비밀번호, 인증인식 값, 개인정보 등의 정보를 기록하지 않습니다.
- 암호화 전송 시 프로토콜 설계의 경함이 있는 SSLv2, SSLv3, TLSv1.0, TLSv1.1은 비활성화 하고 TLSv1.2이상 사용을 권장합니다.
쿠키 변조
개념
쿠키 값이 평문으로 노출되어 탈취가 쉬운 취약점입니다.
발생 원인
불충분한 보안 대책으로 인해 발생합니다.
위험한 이유
공격자가 쿠키 변조를 통해 사용자의 세션을 취득할 수 있습니다.
조치 방법
- 쿠키 대신 보안성이 강한 Server Side Session 방식 사용. Clint Sid Session 방식인 쿠키는 그 구조상 다양한 취약점에 노출될 수 있습니다.
- 쿠키(또는 Session)를 사용해서 중요정보나 인증을 구현해야 할 경우엔 안전한 알고리즘(SEED, 3DES, AES 등)을 사용합니다.
- HTTP 헤더에 따로 설정을 해 세션 ID 값은 HTTPS를 통해서만 전송되도록 설정하고, JS를 통해 세션 ID 값 등 쿠키 정보가 유출되지 않도록 보호합니다.
'주요정보통신기반 시설 가이드' 카테고리의 다른 글
| 위치 공개 취약점이란? (0) | 2024.03.21 |
|---|---|
| 관리자 페이지 노출과 경로 추적 (0) | 2024.03.21 |
| 파일 업로드와 파일 다운로드 (0) | 2024.03.21 |
| 자동화 공격과 프로세스 검증 누락 (0) | 2024.03.20 |
| 불충분한 세션 만료와 세션 고정 (0) | 2024.03.20 |