> 이전 글 : 금일 12시에 강제 로그아웃 예정 -> 완료
금일 적용된 2가지는 다른 사이트 운영하시는 분들께도 참고가 되도록, 작업 내역을 정리해서 링크해두었습니다.
# 10/26 초기 대응
우선 2420님의 취약점 보고서를 기반으로 업로드 및 SQL Injection 취약점 등에 대해 회원K님의 소스 코드 개선이 이루어졌습니다.
이후 추가 보완 작업을 위해 apache 접근 로그, 웹에서 만들어진 의심 파일, 소스 변조 여부 등을 분석하여 공격 경로를 파악하고,
공격에 사용된 파일들을 제거하고 관련 접근 경로를 차단하는 작업들을 진행했습니다.
(이 부분은 케이스바이케이스라 따로 내역을 정리하지 못했고요)
# 10/29 추가 대응
추가 취약점이 나오더라도 피해를 최소화하기 위해, 다음 2가지 보안 정책을 개선하였습니다.
이로 인해 금일 12시(점심)에 기존 로그인을 모두 강제 로그아웃시켰었습니다.
## 1. XSS 방어를 위한 JavaScript의 세션 쿠키 접근 제한
> 목표 : XSS 공격 성공시에도 Javascript 에서 세션 쿠키에 접근할 수 없도록 하여, 피해를 최소화 합니다.
작업 내역 - https://www.php79.com/602
## 2. 비밀번호 해시 고도화 (BCRYPT)
> 목표 : 최악의 경우 서버내 해시된 비밀번호 데이터가 유출되더라도, bcrypt 알고리즘을 적용하여 실제 비밀번호를 유추하기 어렵게 만들었습니다.
작업 내역 - https://www.php79.com/595
* 혹 사이트에 보안 개선이 필요한 분들은 작업 내역에 단계별로 따라하시면서 테스트 및 보완하실 수 있도록 설명해두었습니다.
¾ÏÆ° °í»ýÇϼ̽À´Ï´Ù.
³Ê¹« ¸¹Àº °ªÀÌ ³ª¿À±â ¶§¹®¿¡
»ý¼ºÇؼ °ü¸®ÇÏ´Â Àǹ̰¡ ¾ø±â ¶§¹®À̶ó°í ÇÕ´Ï´Ù.
https://www.reddit.com/r/AskNetsec/comments/43w417/why_is_it_too_expensive_to_make_a_bcrypt_lookup/
bcrypt produces a 60 byte hash. So, the resulting rainbow table would be 2480 bits or 3.12174855 ¡¿ 10120 yottabytes. Even the NSA doesn't have this. And this is also for just one version of the rainbow table. With bcyrpt you can set the "cost factor" you want to use. Basically, how many rounds of of the key derivation algorithm you want to run. This means you need to produce a rainbow table for every possible value of the cost function. I don't know for sure; but, I would suspect most implementations will accept a cost value anywhere from 1 to 2,147,483,647 (max value for a 32 bit integer). That's a lot of rainbow tables. At 1.1ish exabytes per table, that's going to require a few extra disks in the datacenter. And this completely ignores the issue of salting and actually generating these tables. so ya, not really possible.
¸Å¹ø ........ ´ë´Ü Çϼ¼¿ä.
°í»ý¸¹À¸¼Ì½À´Ï´Ù