** 아래 내용 중 사무실 방문하여 작업하는건 > 자택 및 원격작업 으로 변경합니다.

mysql + php 로 제작된 사이트 2곳 보안취약점 보안작업해주실 분 구합니다.

비용은 30만원이고 목동역 부근 사무실에 주말중으로 오셔서 작업해 주시면 됩니다.

반나절 작업정도 생각해주시면 되나 중급정도면 1~2시간에 끝나지 않을까 싶습니다.

두곳사이트 모두 정부산하 단체 사이트로 솔루션은 다릅니다.

(한곳은 워드프레스, 한곳은 예전 그누보드와 거의 흡사한 CMS)

조치해야할 작업양은 총 12개정도로

작업이 제한되는 부분은 제외하여 조치할 예정입니다.

조치해야될 작업은 구체적으로 정리되어있고 조치방법 역시 구체적으로 정리되어있습니다.

작업내용 아래 구체적으로 적어놓으니 어떤작업인지 파악하시고,

작업 가능하신 분은 댓글 및 연락주시기 바랍니다.

- 작업난이도는 낮으나 정확한 조치가 필요한 작업이기에 너무 초보자분은 양해 바랍니다.

1.

취약점 -웹 어플리케이션에서 사용자 입력 값에 대한 필터링이 제대로 이루어지지 않을 경우,
공격자가 입력이 가능 폼(웹 브라우저 주소입력 또는 게시판 등)에 악성 스크립트를
삽입하여 사용자의 세션을 도용, 악성코드를 유포할 수 있는 취약점

해결방법 - php의 내장 함수인 htmlspecialchars 메서드를 이용하여 “<”, “>”와 같이 HTML 태그
실행에 사용되는 문자열을 치환하여 공격자가 삽입한 악의적인 스크립트가 실행되지
않도록 설정해야 한다. 부득이하게 사용해야 될 HTML 태그가 존재한다면 예제와
같이 htmlspecialchars 메서드를 사용하여 치환된 문자열을 다시 원래의 태그로 치환
함으로써 HTML 태그가 실행 가능하도록 설정 하는 것을 권장한다.

2.

취약점  - 웹 사이트 데이터가 노출되는 것으로 개발 과정의 코멘트나 오류 메시지 등에서 중요한 정보가
노출되어 공격자에게 2차 공격을 하기 위한 중요한 정보를 제공할 수 있는 취약점
 

해결방법 - GET, POST, HEAD, OPTIONS를 제외한 불필요 메소드를 비활성화 시키는 것을 권장한다.
Apache 홈 디렉토리/config/httpd.conf 파일에서 다음과 같이 <LimitExcept> 지시어를 추가하여
불필요한 메소드를 차단한다.


3. 게시글 검색 시 조작된 SQL 질의문을 삽입하여 데이터베이스를 조작할 수 있는 취약점

해결방법 - 문자열 유효성 검증 로직을 구현
SQL 쿼리에 사용되는 문자열에 대해 유효성 검사를 실시하는 프로세스를 구현한다.
아래와 같은 특수문자를 사용자 입력 값으로 지정 금지하도록 한다.
(아래 문자들은 해당 데이터베이스에 따라 달라질 수 있다.)

4. 응답 패킷을 통해 서버 버전 정보가 노출되는 취약점

해결방법 - 1. 응답패킷의 헤더 값에서 정보가 노출되지 않도록 권고한다.
2. php.ini 파일의 내용을 변경하여 응답헤더에 노출을 방지한다.
* 예로 제시하는 설정이며 구축 환경에 맞게 설정하도록 권고한다....

expose_php = On -> expose_php = Off
 

5.별도의 접근 제어 없이 관리자 페이지에 접근이 가능한 취약점

해결방법 - 중요한 정보를 가진 웹 서버의 특정 페이지들은 관리자 또는, 특정 사용자만 접근할
필요가 있으므로 이러한 주요 페이지들은 웹 서버에서 적절한 설정을 통하여 특정
사용자만 접근이 가능하도록 사용자 접근 제한이 필요하다.

나머지도 위와 비슷한 작업들입니다.