Post
구축이라고 하기는 좀 거창한 것 같지만 드디어 회사 쇼핑몰에도 보안 방화벽을 구축했다.
이유는 PHP의 숙명인 인젝션(SQL Injection) 공격 때문인데 실제로 재작년, 회사 쇼핑몰 메인이 하루 아침에 성인사이트 배너로 떡칠이 된 날벼락도 겪어봤었다.
원인을 분석하고 보니 글쓰기 페이지의 파일 업로드 기능 취약점을 이용한 인젝션 공격이었는데 웹이라는 것이 현재도 계속 발전하고 있고 그만큼 해킹 공격 기술도 따라서 다양해지는 터라 달랑 이 프로그램만으로 그 많은 유해 시도 공격을 다 막아내기는 물론 택도 없지만 나중에 이 회사를 퇴사하게 될 경우 후임자로 온 사람이 보안이나 PHP 지식이 없어도 사이트 관리 업무를 맡을 수 있도록 대안책을 마련해둔 것이다. 그만큼 국내 중소 임대형(혹은 설치형) 쇼핑몰들은 보안에 상당히 취약하다는 얘기로 해석된다.
로그인 세션과 Location 페이지에 코드 몇 줄을 더 추가 후 마무리하고 SSL 구동을 잠시 정지시켜놓고 간단한 업로드 공격을 시도해봤는데 다행히 잘 작동되는 것 같다.
'인벤토리 > 보안 & 웹' 카테고리의 다른 글
| BTV 일베 인증 (0) | 2016.04.13 |
|---|---|
| 특정 URL 차단용 .htaccess (0) | 2013.04.11 |
| 웹방화벽 첫 로그 (0) | 2013.03.25 |
| .htaccess로 사이트 무단링크 막기 (0) | 2013.02.27 |
| 갈 길이 먼 다음 클릭스 (0) | 2013.02.12 |
| 주민번호 수집 금지 방통위 권고 (0) | 2013.02.07 |
| 이상한 유입로그 (0) | 2012.10.22 |