[Web] 데이터 평문 전송 (SN)
- 취약점 점검/웹(Web)
- 2021. 9. 14.
데이터 평문 전송
4E5C68
취약점 개요
■ 위험도
- 상
■ 점검 목적
- 서버와 클라이언트 간 통신 시 데이터의 암호화 전송 미흡으로 정보 유출의 위험을 방지하고자 함
■ 보안 위협
- 웹상의 데이터 통신은 대부분 텍스트 기반으로 이루어지기 때문에 서버와 클라이언트 간에 암호화 프로세스를 구현하지 않으면 간단한 도청(Sniffing) 을 통해 정보를 탈취 및 도용할 수 있음
점검 및 조치 방법
■ 점검 및 판단 기준
- 양호 : 중요정보 전송구간에 암호화 통신이 적용된 경우
- 취약 : 중요정보 전송구간에 암호화 통신이 이루어지지 않는 경우
■ 조치 방법
- 사이트의 중요정보 전송구간(로그인, 회원가입, 회원정보관리, 게시판 등) 암호화 통신(https, 애플리케이션방식) 적용
■ 점검 방법
Step 1) 중요정보(인증정보, 개인정보 등)를 송수신하는 페이지 존재 여부 확인
Step 2) 중요정보 송수신 페이지가 암호화 통신(https, 데이터 암호화 등)을 하는지 확인
Step 3) 취약한 버전의 암호 프로토콜 사용 시 암호화된 통신 내용이 유출될 수 있어 취약한 버전의 SSL(SSL 2.0, 3.0) 사용 여부를 점검
■ 보안설정방법
* 웹상에서의 전송 정보를 제한하여 불필요한 비밀번호, 주민등록번호, 계좌정보와 같은 중요정보의 전송을 최소화하여야 하며, 중요정보에 대해서는 반드시 SSL 등의 암호화 통신을 사용하여 도청으로부터의 위험을 제거함
* 쿠키와 같이 클라이언트 측에서 노출되는 곳에 비밀번호, 인증인식 값, 개인정보 등의 정보를 기록하지 않음
* 암호화 전송 시 프로토콜 설계의 결함이 있는 SSLv2, SSLv3, TLSv1.0, TLSv1.1은 비활성화 필수, TLSv1.2 이상 사용을 권장함
※ 웹 서버 별 상세 설정
Apache
IIS
■ 용어 설명 / 팁
※ Sniffing: 스니퍼(sniff: 냄새를 맡다, 코를 킁킁거리다)를 이용하여 네트워크상의 데이터를 도청하는 행위
※ 소스코드 및 취약점 점검 필요