웹사이트 보안 규정 준수여부를 확인하려면...
설화
2023.04.01
이미 개발이 완료된 사이트의 보안규정 준수여부를 확인하고자 합니다.
Vulnerabilities Tool test on web site 를 요청하였는데 Vulnerabilities Tool test on web site 라는 용어가 구축된 웹사이트의 보안규정 준수여부나 사이트이 보안상 문제가 있는지 여부를 확인하는 것이 맞나요??
아까 웹표준 준수여부를 확인하는 방법처럼 이 부분도 확인을 할 수 있는 방법이 없을까요??
참고로, 웹보안 규정 관련해서 인터넷 진흥원에서 공개된 캐슬(Castle)를 적용하였다고 하는데 이 castle 라는 툴(?)이 믿을만한 툴인지요?
-
사지타리우스
웹사이트 보안의 간단한 예는...
[예1]
DB에서 어떠한 자료를 열람/수정/삭제에 권한이 필요 하거나
회원 권한등에 따라 접근하는 자료가 다를 때
페이지에서 다른 페이지 이동할때 url 외에 파라미터가 붙습니다.
권한이 없는 사람이 파라미터만을 변경하여 접근하였음에도 해당 내용에 접근이 가능한 경우.
예) index가 1인 게시물은 사용자 A가 작성하였습니다. 사용자 B가 수정페이지 modify.php 에 index의 값을 받는 파라미터 idx