- 제 목 조은보드 보안성 높이기
조은보드는 막강한 보안성을 자랑합니다. 하지만 보다 높은 보안성 필요시 아래의 서버 설정을 통해 보안성을 향상시켜 보시기 바랍니다.
1, 2는 호스팅 서비스 이용 시 해당 업체에 요청하여 처리 가능하며, 3은 회원님이 직접 하셔야 합니다.
4. 5는 서버를 직접 운영하실 경우 참고 하시기 바랍니다. 호스팅 서비스를 이용하시는 회원님은 호스팅사의 정책에 따라야 합니다.
1. /data 폴더는 인터넷 게스트 계정으로 쓰기 권한이 부여되어 있어 게시판을 누구나 파일을 업로드할 수 있는 구조입니다.
이를 이용해 악의적인 목적을 가진 이들은 asp, aspx, exe, htr, cer, asa 등의 실행 가능 한 파일을 지속적으로 업로드를 시도합니다.
조은보드에서는 위의 파일을 필터링을 하지만 우회를 통해 다양한 방법으로 재시도를 하게 됩니다. 이때는 /data 폴더에서 실행파일이 동작하지 못 하도록 하는 것이 최선책입니다.
IIS에서 /data 폴더에 스크립트 권한을 없앰으로써 파일의 업로드와 다운로드 외의 모든 기능은 제한하도록 합니다.
2. IIS 설정을 통해 부모 경로를 사용치 못하게 하여 해킹 툴을 이용한 디렉터리 탐색을 차단합니다.
3. /data 폴더에는 db_conn의 하위 폴더가 존재합니다. 데이터 베이스 연결 파일이 존재하는 폴더로 파일 이동 및 소스 변경을 통해 DB연결 정보를 파악할 수 없도록 합니다.
1) global.asa를 홈 디렉터리로 이동시킵니다.
2) user_dbconn.asp의 소스를 열어 7 ~ 9 라인의 소스를 아래와 같이 변경합니다.
# 기존 소스
Dim db
Set db = Server.CreateObject("ADODB.Connection")
db.open "Provider=SQLOLEDB.1;Data Source=???;Initial Catalog=???;User ID=???;Password=???;Persist Security Info=True;Auto Translate=False;"
# 변경 소스
Dim db
Set db = Server.CreateObject("ADODB.Connection")
db.Open Application("ConnString")
4. 웹서버와 DB서버를 물리적으로 분리하고 DB서버에서는 방화벽을 통해 외부에서 접속하지 못하도록 합니다.
5. WebKnight와 같은 IIS 웹방화벽을 사용하여 2~3중으로 보안성을 높입니다.
1, 2는 호스팅 서비스 이용 시 해당 업체에 요청하여 처리 가능하며, 3은 회원님이 직접 하셔야 합니다.
4. 5는 서버를 직접 운영하실 경우 참고 하시기 바랍니다. 호스팅 서비스를 이용하시는 회원님은 호스팅사의 정책에 따라야 합니다.
1. /data 폴더는 인터넷 게스트 계정으로 쓰기 권한이 부여되어 있어 게시판을 누구나 파일을 업로드할 수 있는 구조입니다.
이를 이용해 악의적인 목적을 가진 이들은 asp, aspx, exe, htr, cer, asa 등의 실행 가능 한 파일을 지속적으로 업로드를 시도합니다.
조은보드에서는 위의 파일을 필터링을 하지만 우회를 통해 다양한 방법으로 재시도를 하게 됩니다. 이때는 /data 폴더에서 실행파일이 동작하지 못 하도록 하는 것이 최선책입니다.
IIS에서 /data 폴더에 스크립트 권한을 없앰으로써 파일의 업로드와 다운로드 외의 모든 기능은 제한하도록 합니다.
2. IIS 설정을 통해 부모 경로를 사용치 못하게 하여 해킹 툴을 이용한 디렉터리 탐색을 차단합니다.
3. /data 폴더에는 db_conn의 하위 폴더가 존재합니다. 데이터 베이스 연결 파일이 존재하는 폴더로 파일 이동 및 소스 변경을 통해 DB연결 정보를 파악할 수 없도록 합니다.
1) global.asa를 홈 디렉터리로 이동시킵니다.
2) user_dbconn.asp의 소스를 열어 7 ~ 9 라인의 소스를 아래와 같이 변경합니다.
# 기존 소스
Dim db
Set db = Server.CreateObject("ADODB.Connection")
db.open "Provider=SQLOLEDB.1;Data Source=???;Initial Catalog=???;User ID=???;Password=???;Persist Security Info=True;Auto Translate=False;"
# 변경 소스
Dim db
Set db = Server.CreateObject("ADODB.Connection")
db.Open Application("ConnString")
4. 웹서버와 DB서버를 물리적으로 분리하고 DB서버에서는 방화벽을 통해 외부에서 접속하지 못하도록 합니다.
5. WebKnight와 같은 IIS 웹방화벽을 사용하여 2~3중으로 보안성을 높입니다.