[IT 알아보기]

이호스트IDC, 서버호스팅 웹서버 보안취약 위험 10가지

이호스트ICT 2014. 2. 3. 17:05

이호스트데이터센터 지게꾼입니다.

 

서버호스팅, 코로케이션 고객들의 웹서버 보안취약에 대한 정리 글입니다.

 

실제적으로, 서버호스팅 대부분의 고객 서버들은 PORT정책에 따른 방화벽만을 서비스받고 있는 상황이며, 이에따른 웹서비스 80포트를 통한 보안을 취약한 것이 사실이다.

 

서버호스팅을 하면서 보안서비스를 유지하는것은 그리 쉬운것은 아니다. '배보다 배꼽이 크다'라는 식의 서비스 형태가 될 수 있다. 때문에, 처음부터(보안침해가 발생하기 전에는 보안을 신경쓰지 않는다.) 웹보안 서비스를 진행하는 경우는 드물고, KISA(한국인터넷진흥원) 및 운영팀에서 직접적인 해킹사고에 대한 내용의 기술답변을 받으면 그때에 비로서 도입을 하게 된다.

 

'소잃고 외양간 고친다'라는 속담이 딱 맞는 말이다. 웹방화벽과 같은 보안 서비스를 받으려고 할 때는 이미 웹페이지 소스가 악성코드 유포지 및 OWASP10에 대한 공격시도를 받은 상황이라서, 지저분해진 상황들이 많다.

 

클라우드 웹방화벽 기술도입이 되면서 보안 서비스의 품질은 그대로 유지되면서, 비용의 절감효과를 볼 수 있는 서비스들이 나와서 요즘은 대부분의 고객들이 웹취약점 점검 진행 후 도입을 진행하고 있다.

 

서버 담당자들이 기본적으로 알아야 할 웹 취약점 10가지를 소개한다.

  

OWASP TOP 10 - 2010(이전)

 OWASP TOP 10 - 2013(신규)

A1 - 인젝션 

A1 - 인젝션

 A3 - 인증 및 세션 관리 취약점

A2 - 인증 및 세션 관리 취약점

A2 - 크로스사이트 스크립팅(XSS)

A3 - 크로스사이트 스크립팅(XSS)

 A4 - 취약한 직접 객체 참조

A4 - 취약한 직접 객체 참조

 A6 - 보안 설정 오류

A5 - 보안 설정 오류

 A7 - 불안정한 암호 저장 - A9와 통합됨

A6 - 민감 데이터 노출

 A8 - URL 접근 제한 실패 - 확장됨

A7 - 기능 수준의 접근 통제 누락

 A5 - 크로스 사이트 요청 변조(CSRF)

A8 - 크로스사이트 요청 변조(CSRF)

 A6 에 포함되어 있었음 : 보안 설정 오류

A9 - 알려진 취약점이 있는 컴포넌트 사용

 A10 - 검증되지 않은 리다이렉트 및 포워드

A10 - 검증되지 않은 리다이렉트 및 포워드

 A9- 미흡한 전송 계층 보호

2010년도 A7이 2013년도 A6(신규)로 통합됨

  <OWASP Top 10>

 

 

 

 

 

- 한줄 광고 -

서버호스팅 금액이 부담스러우셨던 분들!!

고성능 쿼드코어*2 CPU / 24G 램 / 1TB

1G Dedicated Line

무약정으로 이용할 수 있는 기회!

월 130,000원!

이호스트IDC 바로가기☞ http://www.ehostidc.co.kr/