웹 보안 위험을 최소화하여 해킹을 피하는 방법 - 웹 애플리케이션 보안을 유지하는 더미

웹 응용 프로그램을 안전하게 유지하려면 윤리적 해킹 노력과 웹 개발자 및 공급 업체의 경계에 끊임없이주의해야합니다. 최신 해킹, 테스트 도구 및 기술을 따라하고 개발자와 공급 업체가 보안을 조직의 최우선 과제로 고려해야한다는 사실을 알리십시오.

다음 리소스를 사용하여 실습 경험 테스트 및 웹 응용 프로그램 해킹을 직접 얻을 수 있습니다.

• OWASP webGoat Project

• Foundstone의 Hacme 도구

모호함으로 보안 실행

모호함에 의한 보안의 형태 - 사소한 방법을 사용하여 명백한 관점에서 무언가 감추기 - 특정 스크립트 유형이나 기본 HTTP 포트를 공격하기 위해 하드 코드 된 웜 또는 스크립트의 자동 공격을 방지 할 수 있습니다.

• 웹 응용 프로그램 및 관련 데이터베이스를 보호하려면 각기 다른 시스템을 사용하여 각 웹 서버, 응용 프로그램 및 데이터베이스 서버를 실행하십시오.

  이 개별 컴퓨터의 운영 체제는 모범 사례를 기반으로 보안 취약성을 테스트하고 강화해야합니다.

• 기본 제공 웹 서버 보안 기능을 사용하여 IIS의 응용 프로그램 격리 기능과 같은 액세스 제어 및 프로세스 격리를 처리합니다. 이 방법은 하나의 웹 응용 프로그램이 공격 당하면 동일한 서버에서 실행되는 다른 응용 프로그램이 위험에 처하게하지 않을 수 있습니다.

• 웹 서버의 신분을 모호하게하는 도구를 사용하십시오 - 본질적으로 서버를 익명으로 처리하십시오. Port 80 Software의 ServerMask가 그 예입니다.

• 웹 응용 프로그램에 대해 플랫폼 특정 공격이 수행되는 것이 염려되는 경우 공격자가 웹 서버 또는 운영 체제가 완전히 다른 것으로 생각하도록 속일 수 있습니다. 다음은 몇 가지 예입니다.

  • Microsoft IIS 서버 및 응용 프로그램을 실행하는 경우 모든 ASP 스크립트의 이름을 a. cgi 확장.

  • Linux 웹 서버를 사용하는 경우 IP Personality와 같은 프로그램을 사용하여 OS 지문을 변경하여 시스템이 다른 것으로 작동하는 것처럼 보입니다.

• 비표준 포트에서 실행되도록 웹 응용 프로그램을 변경하십시오. 기본 HTTP 포트 80 또는 HTTPS 포트 443에서 높은 포트 번호 (예: 8877)로 변경하고 가능한 경우 권한이없는 사용자, 즉 시스템, 관리자, 루트 등이 아닌 다른 서버로 실행되도록 서버를 설정하십시오 에.

절대로 절대로 혼자 어둠에 의존하지 마십시오. 그것은 절대 안전하지 않습니다. 전용 공격자가 시스템이 자신이 주장하는 바가 아니라고 판단 할 수 있습니다.아직도, naysayers와 함께, 그것은 아무것도보다 낫을 수 있습니다.

방화벽 설치

다음과 같은 추가 컨트롤을 사용하여 웹 시스템을 보호하십시오.

• 웹 응용 프로그램에 대한 공격을 탐지하고 차단할 수있는 네트워크 기반 방화벽 또는 IPS입니다. 여기에는 SonicWall, Check Point 및 Sourcefire와 같은 회사에서 판매하는 상용 방화벽과 차세대 IPS가 포함됩니다.

• SecureIIS 또는 ServerDefender와 같은 호스트 기반 웹 응용 프로그램 IPS, .

  이 프로그램은 웹 응용 프로그램과 특정 데이터베이스 공격을 실시간으로 탐지하여 해를 입힐 수있는 기회를 갖기 전에 차단합니다.

소스 코드 분석

소프트웨어 개발은 ​​보안 허점이 시작되고 끝나야 만하지만 거의 수행하지 않는 곳입니다. 윤리적 인 해킹 노력에 확신을 가지면 소스 코드의 보안 결함을 발견 할 수 있습니다. 기존의 스캐너 나 해킹 기법에서는 발견 할 수 없지만 여전히 문제는 아닙니다. 두려워하지 마라! 실제로 소리보다 훨씬 간단합니다. 아니요, 무슨 일이 일어나고 있는지 한 줄씩 코드를 살펴볼 필요가 없습니다. 개발 경험이 필요하지 않습니다 (도움이 되긴하지만).

이렇게하려면 Veracode 및 Checkmarx에서 제공하는 정적 소스 코드 분석 도구를 사용할 수 있습니다. Checkmarx의 CxSuite (더 구체적으로 CxDeveloper)는 웹 응용 프로그램과 모바일 응용 프로그램 테스트에 합리적인 가격과 포괄적 인 독립 실행 형 도구입니다.

CxDeveloper를 사용하면 엔터프라이즈 클라이언트를로드하고 응용 프로그램에 로그인하고 (기본 자격 증명은 admin @ cx / admin) 검색 마법사 작성을 실행하여 소스 코드를 가리키고 검색 정책을 선택하고 다음을 클릭 한 다음, Run (실행)을 클릭하면 꺼지고 실행됩니다.

검사가 완료되면 결과 및 권장 해결책을 검토 할 수 있습니다.

CxDeveloper는 C #, Java 및 모바일 소스 코드의 취약점을 하나의 간단한 패키지에 묶어서 분석하고보고하는 데 필요한 거의 모든 것입니다. Veracode와 마찬가지로 Checkmarx도 클라우드 기반 소스 코드 분석 서비스를 제공합니다. 소스 코드를 제 3 자에게 업로드하는 것과 관련된 장애물을 극복 할 수 있다면 소스 코드 분석을위한보다 효율적이고 대부분 핸즈프리 옵션을 제공 할 수 있습니다.

소스 코드 분석은 종종 전통적인 웹 보안 테스트보다 다른 결함을 발견합니다. 가장 포괄적 인 수준의 테스트를 원하면 두 가지를 모두 수행하십시오. 소스 분석이 제공하는 추가 수준의 검사는 모바일 앱에서 점점 더 중요 해지고 있습니다. 이 앱은 종종 많은 새로운 소프트웨어 개발자가 학교에서 배웠던 보안 허점으로 가득합니다.

웹 보안의 핵심은 개발자와 품질 보증 분석가에게 보안이 시작된다는 사실을 보여줄 수 있다면 조직의 전반적인 정보 보안을 실제로 바꿀 수 있다는 것입니다.