070-4693-6868
일산지역  070-7098-9908
대전지역  010-2340-0239

로사이트

법률홈페이지+모바일웹=100만원

메인메뉴

빠른견적요청
빠른 견적요청  요즘 법률홈페이지 얼마에 어떻게 만드나요?
담당자(직함) 연락처이메일 [전문보기]

새로운글

법무법인 하정(리갈노마드..
어느날, 띠리링~ 띠리링~ 상담전화가 왔습니다.변호사님 : `컴퓨터를 잘 모르니 알아서 잘 만들어달라`변..
수주완료현황2018.10.10
법무법인 SL(에스엘) 한국..
법무법인 SL(에스엘) 한국러시아 법률센터 홈페이지 제작이 계약되었습니다.  로사이트를 선택해..
수주완료현황2018.10.04
법무법인 상록수 홈페이지..
법무법인 상록수 홈페이지 제작이 계약되었습니다.  로사이트를 선택해주셔서 감사드립니다.스트..
수주완료현황2018.09.28
법무법인참진 화재사고 상..
법무법인참진 화재사고 상담센터 홈페이지가 오픈하였습니다.신체사고 상담센터 제작 후, 다시 한번 믿..
수주완료현황2018.09.20
구본준 법률사무소 홈페이..
변호사 구본준 법률사무소 홈페이지를 오픈하였습니다.큰 기대를 가지고 만든 홈페이지! 많은 관심과 이..
수주완료현황2018.09.17
법무법인 하정 리갈 노마..
법무법인 하정 리갈 노마드 홈페이지 제작(섭외사건,조세사건,부동산사건,일반송무)이 계약되었습니다.&n..
수주완료현황2018.08.31
법률사무소한서 이혼상속..
전주 법률사무소 이혼상속 변호사 홈페이지를 오픈하였습니다. `세련되고 무게감있는 색감과 디자인`..
수주완료현황2018.08.29
법무법인 참진 홈페이지 ..
법무법인 참진 홈페이지 제작(재물,화재보험,보험계약,소외합의)이 계약되었습니다.  로사이트를 ..
수주완료현황2018.08.27
노무법인명문 법률홈페이..
노무법인명문에서 두 번째 맞겨주신 홈페이지를 오픈하였습니다!이번 홈페이지는 건설업체관리, 일용직..
수주완료현황2018.08.20
태원종합법률사무소 법률..
이번에 소개해드릴 제작 스토리는태원종합법률사무소 홈페이지 제작입니다. 기존에 홈페이지를 제작..
수주완료현황2018.08.20

보안성을 고려한 홈페이지제작을 위해 꼭 알아야 할 것들

SQL인젝션 필터링 여부 점검

SQL인젝션은 해킹이 성공할 경우 피해가 가장 심각한 공격방식입니다.
홈페이지 내부에 저장되어 있는 Database의 정보가 유출될 수도 있기 때문에 반드시 점검 해야 할 대상입니다.

해킹 시도 방법으로는,
흔히 로그인 할 때 입력하는 id나 패스워드에 따옴표와 = 과 같은 문자를 섞어 정상적인 쿼리로 인식되게 합니다.
이 경우 관리자로 로그인 될 수도 있고 인증된 쿼리에 따라 전체 정보가 유출될 수도 있습니다.

따라서 모든 사용자 입력 값을 체크 하여 비정상적인 입력을 필터링 해야 합니다.

XSS(Cross Site Scripting) 필터링 여부 점검

XSS (Cross Site Scripting) 도 반드시 점검해야 할 대상 입니다.
이 해킹이 성공할 경우 운영중인 홈페이지가 악성코드가 배포처가 되거나 피싱사이트로 이동시키는 데 약용될 수 있습니다.
특히 내 홈페이지에 악성코드가 심어지면 수 많은 2차 피해자가 생길수 있으니 꼭 점검해야 합니다.

해킹 시도 방법으로는,
게시물에 글을 쓸 때 iframe, script, embed, object 태그를 등록하는 방법이 있습니다.
위와 같은 태그를 악용하면 해당 게시물을 보는 방문객들이 악성 프로그램을 다운로드 받거나 금융사기 피싱사이트 등으로 강제 이동하게 될 수 있으므로 게시물을 입력할 때 각종 태그나 스크립트 실행 구문을 필터링 해야 합니다.

파일 업로드 취약점 점검

게시물에 파일을 첨부할 때 확장자를 점검하여 시스템 파일이 업로드 되지 않도록 해야 합니다.
시스템파일이란 .php 와 같은 웹프로그램 파일이며 악의 적인 실행이 코딩된 파일이 업로드 되면 홈페이지내의 모든 정보가 유출되거나 파기될 수 있습니다.

최근에는 png 파일과 같은 이미지파일에도 악성스크립트를 삽입하여 공격하는 패턴도 보이고 있으므로 꼭 필요한 최소한의 확장자만 허용해야 합니다.
아울러 파일이 업로드 되는 디렉토리는 실행 권한을 비활성화 시켜 두는것이 보다 안전합니다.

파일 다운로드 취약점 점검

홈페이지에는 첨부된 파일을 다운로드 하는 영역이 있습니다.
서버의 첨부파일을 다운로드 할 수 있도록 하는 프로그램에 ../ 와 같은 상대 경로 문자열을 입력함으로써 시스템 파일과 같은 중요 파일을 다운로드 하려는 공격 시도를 할 수 있습니다.

이와 같은 시도가 실행 되면 패스워드와 같은 중요한 정보가 유출 될 수 있습니다.
따라서 파일명을 입력받는 방식이외의 방법으로 다운로드 프로그램을 구현하는 것이 좋으며 불가피한 경우 정해진 경로에서만 다운로드 될 수 있도록 점검해야 합니다.

개인정보 보안 점검

최근 개인정보보호법이 강화됨에 따라 홈페이지상에서 개인정보가 노출되지 않도록 관리해야  합니다.
게시판에 작성된 정보중 개인정보는 블라인드 처리하여 노출되지 않도록 하여야 합니다.

이름, 각종 연락처, 접속IP주소 등과 같은 정보가 필요한 영역에서만 노출 될 수 있도록 하여야 하며,
주민등록번호나 패스워드와 같은 민감한 정보는 저장시 암호화키를 활용한 보안성 높은 방법으로 암호화 하여야 합니다.

지속적인 보안 패치 및 기반 프로그램 업데이트

저희는 각종 보안관련된 이슈가 새로 발견되면,
가장 빠르게 반영할 수 있도록 대응 해 드리며 무료 패치와 유료 최적화 작업을 해 드리고 있습니다.
또한 공공기관이나 금융기관에서 실시하는 보안성테스트 후에 발견되는 문제점에 대해 신속히 대응해 드리며,
차후 제작되는 홈페이지에 반영하여 보다 안전한 운영이 될 수 있도록 노력합니다.

이 밖에 보안관련된 자세한 내용은 아래의 문서를 다운로드 받아 참고하시기 바랍니다.

☞ KISA(인터넷진흥원) 보호나라의 홈페이지개발보안안내서바로가기

서버보안 및 SSL인증 보안서버 구축

웹프로그램 보안과 함께 서버측 보안이 필수 입니다.
서버 자체보안의 경우 서버 제공 업체가 보안 관련된 이슈에 얼마나 신속하게 대응하고 자주 패치하느냐에 따라 달려 있습니다. 따라서 인지도 높은 서버 제공업체를 선택하는 것도 매우 중요 합니다.
또한 SSL인증서를 통한 https 프로토콜을 사용할 수 있도록 설정하면 중요한 정보 전송시 암호화 되어 전송되므로, 보다 안심하고 홈페이지를 운영 할 수 있습니다.

로우사이트 대표 이주한
https://www.facebook.com/ohmysite
ceo@ohmysite.co.kr
홈페이지제작, '경험을 디자인 합니다'

0

추천하기

0

반대하기

첨부파일 다운로드

등록자이주한

등록일2015-07-26

조회수18,370

  • 페이스북 공유
  • 트위터 공유
  • 밴드 공유
  • Google+ 공유
  • 인쇄하기
 
스팸방지코드 :