Hailey's Record Hailey's Record

ETC./인증 심사 (8)

• RSA 암호화 적용하기

  ETC./인증 심사 2021. 6. 21. 13:13

  비밀번호는 보통 단방향 암호화 MD5, SHA 등의 방식을 사용하며 일치 여부만 판단하면 되기 때문에 문제가 없다. 그러나 기타 개인정보를 서버단에서 사용해야 하는 경우 ? 복호화가 가능한 AES 혹은 RSA 암호화 방식을 사용해야 한다. https 방식으로 SSL을 적용한다 할지라도 평문으로 전송하는 것은 보안에 취약한 것으로 간주한다. 복호화 가능한 암호화 방식 중에는 대칭키에 비해 공개키/개인키 방식이 훨씬 보안에 유리하다. 대칭키의 경우 고유한 하나의 key 로 운영을 하기 때문에 key 를 주기적으로 변경해주지 않으면 key 가 노출되는 상황이 언제든 발생할 수 있다. RSA 암호화 알고리즘의 경우, 공개키/개인키를 그때그때 생성하여 일회성으로 사용하고 key 를 폐기한다. 오늘 예제는 로그인시..

  Read More

• lucy-xss-servlet-filter 로 크로스사이트 스크립팅 공격 예방하기

  ETC./인증 심사 2020. 8. 5. 15:47

  네이버에서 이전에 개발되었던 lucy-xss-filter 라는 라이브러리로 기본적인 크로스사이트 스크립팅 방지 문자들을 치환하기는 유용했으나 일일히 치환로직을 추가해야했기 때문에 조치가 누락되는 경우가 자주 발생하며, 또한 공통함수에 적용했을 때 필터링하지 말아야 할 파라미터에 적용되는 등의 단점이 있었다. 이에 대한 해결책으로 등장한 자바 서블릿 필터 기반의 라이브러리가 바로 lucy-xss-servlet-filter 이다. 참고 ) https://github.com/naver/lucy-xss-servlet-filter naver/lucy-xss-servlet-filter Contribute to naver/lucy-xss-servlet-filter development by creating an ac..

  Read More

• 웹 접근성 준수 요구 사항

  ETC./인증 심사 2020. 4. 28. 17:47

  웹접근성이란? 웹 접근성(web accessibility)은 장애인이나 고령자분들이 웹 사이트에서 제공하는 정보를 비장애인과 동등하게 접근하고 이용 할 수 있도록 보장하는 것으로 웹 접근성 준수는 법적의무사항 입니다. 참고 > http://www.wa.or.kr/m1/sub1.asp 웹 접근성 준수 고려사항 시각 실명, 색각 이상,다양한 형태의 저시력을 포함한 시각 장애 이동성 파킨슨병, 근육병, 뇌성마비, 뇌졸중과 같은 조건으로 인한 근육 속도 저하, 근육 제어 손실로 말미암아 손을 쓰기 어렵거나 쓸 수 없는 상태 청각 영상, 음성 콘텐츠에 자막,원고, 수화등의 대체수단 부제로인한 인식이 불가능한 상태 인지 문제 해결과 논리 능력, 집중력, 기억력에 문제가 있는 정신 지체 및 발달 장애, 학습 장애(난..

  Read More

• 사이트 개인정보 보호조치 요구 사항

  ETC./인증 심사 2020. 4. 28. 15:31

  사용자의 개인정보를 조회 및 활용하는 시스템의 경우 아래 보호조치 사항을 준수해야 한다. [ 접근권한관리 ] 비밀번호 작성규칙 준수 영문+숫자 조합 10자리 이상 또는 영문+숫자+특수문자 조합 8자리 이상 비밀번호 3개월 변경주기 준수 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여 기능 여부 로그인 실패 횟수 제한 (5회 이상) [ 로그관리 ] 계정 생성/변경/말소 및 접근권한부여 로그 5년 이상 기록 보관 항목 : ID, 사용자명, 권한, 소속, 생성/변경/말소일, 권한부여자 가능한한 자세한 정보를 보유하기를 권장하나 일시, 부여자, 접속ip 등의 정보는 필수 접속로그 6개월 이상 기록 - 접속일시, 사용자계정, 접속자 정보(ip) 등 - 수행한 업무내용(조회/수정/삭제..

  Read More

• [보안취약점] 게시판 5분 이내 작성 게시글 수 체크

  ETC./인증 심사 2020. 4. 28. 14:59

  자동화 공격이란, 웹 애플리케이션에 자동화된 공격을 수행하여 많은 수의 프로세스를 실행 시키는 취약점으로, 자동화 공격을 방치하면, 자동 로봇 또는 공격자가 반복적으로 웹 사이트 기능을 사용해서 시스템을 악용할 수 있다. 데이터 등록 또는, 메일 발송 기능 등 웹 애플리케이션에 구현된 기능의 적절성에 대한 검증 로직이 필요하다. 사용자가 글을 등록할 수 있는 게시판이 존재하는 경우 모두 공격대상이 될 수 있다. - 조치 내용 글 등록 시점에 최근 5분 이내 등록한 게시글이 5개 이상인 경우 글 등록을 제한한다 SELECT COUNT(*) FROM TB_BOARD A WHERE (SYSDATE - A.LAST_UPD)*24*60 < 5 AND LAST_UPD_BY = 'userid or key'

  Read More