- 악성 코드 삽입
- 에디터 스크립트 태그 입력 방지
- SQL Injection
- PreparedStatement 사용 시 차단
- Mybatis에서는 #변수명 형태로 사용
- XSS
- 글쓰기 시 스크립트 코드 작성 금지(특수코드로 치환)
- 웹서버(apache) HTTP TRACE Method 비활성화
- 파일 업로드
- 업로드 가능 파일 제한(서버 단에서 확인)
- 업로드 디렉토리 실행권한 제거
- 웹서버는 root 권한이 아닌 일반 사용자 권한으로 구동
- File inclusion
- php 구버전 취약 함수 대상
- include 또는 download 경로가 파라미터로 처리되는 경우
- Directory Listing
- apache httpd.conf 파일 내 Option Indexes 구문 삭제
- apache httpd.conf ErrorDocument 부분 경로 설정(404 등의 에러가 났을 때 사용자에게 보여지는 화면 설정)
- HTTP insecure method
- apache httpd.conf에서 get, post를 제외한 모든 메소드 차단(put, delete는 되도록 쓰지 X)
- Application Error
- 웹 서버 및 was 에러페이지 설정
- HTTP Host Header값 설정 오류
- apache ServerName 설정(올바른 도메인으로 설정되어 있으면 문제 없음)
- 파일 관리 오류
- 불필요한 파일 삭제(백업 파일 등)
- 기타
- 관리자페이지 접속 IP 설정
- 관리자 로그인 이력 저장
- 비밀번호 암호화(복호화 불가능하게)
컴퓨터가 이해하는 코드는 바보도 작성할 수 있다. 사람이 이해하도록 작성하는 프로그래머가 진정한 실력자다. -마틴 파울러