일반적인 서버 익스플로잇 및 보호 방법

서버를 관리하는 경우 웹 호스팅, 앱 실행 또는 무대 뒤에서 무언가를 처리 할 때 보안은 항상 레이더에 있어야합니다.서버는 사이버 공격의 일반적인 목표이며, 작은 약점이 주요 문제로 바뀌는 데 많은 시간이 걸리지 않습니다.

좋은 소식?가장 일반적인 익스플로잇에는 잘 알려진 수정 사항이 있습니다.이 게시물에서는 가장 빈번한 서버 공격 중 일부를 세분화하고 설정을 보호하기위한 간단한 방법을 살펴 보겠습니다.방금 시작하거나 물건을 조여야하든이 팁을 통해 앞서 나갈 수 있습니다.

1. SQL 주입 (SQLI)

SQL 주입은 공격자가 악성 코드를 양식 필드 또는 URL에 입력하여 데이터베이스를 조작 할 때 발생합니다.이를 통해 데이터에 대한 무단 액세스 또는 전체 테이블의 삭제가 가능할 수 있습니다.

sqli를 방지하기 위해 :

매개 변수화 된 쿼리 또는 준비된 문을 사용하십시오
이러한 방법으로 인해 코드의 어떤 부분이 지침인지, 어떤 부분이 사용자 입력인지 명확하게하므로 공격자는 악의적 인 명령에 몰래 몰래 들어갈 수 없습니다.대부분의 프로그래밍 언어는 사용과 같은 지원을 지원합니까?MySQLI의 자리 표시 자 또는 PDO의 가치.

모든 사용자 입력을 검증하고 소독합니다
사용자 (또는 봇)가 깨끗한 데이터를 입력한다고 가정하지 마십시오.제출 된 내용이 ID 필드에서 숫자 만 허용하거나 텍스트 상자에서 예기치 않은 문자를 벗기는 것과 같은 일치하는지 항상 확인하십시오.

데이터베이스 사용자 권한을 제한합니다
웹 앱에 필요한 것보다 더 많은 액세스 권한을 부여하지 마십시오.예를 들어, 앱이 데이터 만 읽는 경우 삭제하거나 편집 할 수있는 권한을 부여하지 마십시오.그렇게하면 공격자가 들어가더라도 어떤 피해를 입을 수 있는지에 제한이 있습니다.

WordPress와 같은 CMS를 실행하는 경우 모범 사례에 따라 WordPress 보안 및 경화 일반적인 SQL 주입 취약점을 방지 할 수 있습니다.

2. 크로스 사이트 스크립팅 (XSS)

XSS에는 다른 사람들이 보는 페이지에 악의적 인 JavaScript를 주입하는 것이 포함됩니다.실행되면 로그인 쿠키, 로그 키 스트로크 또는 사용자를 악의적 인 사이트로 리디렉션 할 수 있습니다.

XSS를 완화하려면 :

입력을 표시하기 전에 소독하고 검증하십시오
사이트에 표시되기 전에 텍스트 사용자가 제출 한 텍스트 사용자 (예 : 댓글 또는 검색 쿼리)가 정리되어 있는지 확인하십시오.이는 <및>와 같은 특수 문자를 제거하거나 변환하여 코드로 취급 할 수 없습니다.

출력 인코딩을 사용합니다
동적 컨텐츠를 표시 할 때 브라우저가 코드가 아닌 텍스트로 처리하도록 인코딩하십시오.예를 들어, & lt; script & gt;달리기를 시도하는 대신 일반 텍스트로 표시됩니다.

컨텐츠 보안 정책 (CSP) 적용
CSP는 브라우저에 따라야한다고 지시하는 일련의 규칙입니다. 예를 들어, 신뢰할 수있는 소스의 스크립트 만로드합니다.악의적 인 코드가 미끄러 져 나오더라도 강력한 CSP는 실행을 방지 할 수 있습니다.

서버가 litespeed를 사용하는 경우 Litespeed 웹 서버 XSS 공격의 위험을 줄이고 전반적인 서버 성능을 향상시키는 데 도움이되는 내장 보안 옵션이 있습니다.

3. 원격 코드 실행 (RCE)

RCE는 공격자가 서버에서 자신의 명령을 실행하는 심각한 위협입니다.성공하면 시스템을 제어하거나 맬웨어를 배포 할 수 있습니다.

RCE의 위험을 줄이기 위해 :

모든 소프트웨어와 플러그인을 최신 상태로 유지하십시오
알려진 문제를 해결하기 위해 보안 업데이트가 해제됩니다.이러한 업데이트를 지연 시키면 공격자는 이미 공개 수정이있는 취약점을 이용할 수있는 창을 제공합니다.

시스템 명령을 실행하는 기능을 사용하지 마십시오
코드가 exec () 또는 System ()과 같은 함수를 사용하는 경우 조심해야합니다.절대적으로 필요한 경우에만 사용하십시오.

웹 애플리케이션 방화벽 (WAF) 사용
WAF는 들어오는 트래픽을 필터 및 모니터링합니다.양식 필드를 통해 코드를 전달하려는 시도와 같은 의심스러운 패턴을 감지하고 서버에 도달하기 전에 차단할 수 있습니다.

CPANEL/WHM 사용자의 경우 보호 기능을 활성화합니다 WHM의 Modsecurity 원격 코드 실행 익스플로잇에 대한 추가 방어 계층을 추가합니다.

4. 디렉토리 트래버스

디렉토리 Traversal을 사용하면 공격자가 파일 경로를 조작하여 제한된 파일에 액세스 할 수 있으며 종종 ../와 같은 패턴을 사용하여 디렉토리를 이동시킵니다.

디렉토리로부터 서버를 보호하려면 :

파일 경로 입력을 소독합니다
사용자 입력이 파일 경로를 직접 제어하도록 허용하지 마십시오.사용자가 제출 한 내용을 정리하고 다음과 같은 문자를 제거하십시오 ./ 디렉토리 주위를 움직일 수 있습니다.

허용 파일 또는 디렉토리의 화이트리스트를 사용하십시오
잘못된 입력을 차단하는 대신 사용자가 액세스 할 수있는 파일 또는 폴더의 정확한 목록을 정의하십시오.다른 것은 자동으로 거부되어야합니다.

적절한 파일 권한을 설정하십시오
민감한 파일을 대중이 읽을 수 없는지 확인하십시오.예를 들어, 구성 파일에는 서버 관리자를 제외한 모든 사람에 대한 읽기 권한이 없어야합니다.

잘못 구성된 권한은 403과 같은 오류를 일으키고 노출을 남길 수 있습니다.여기에 있습니다 403 금지 된 Erro 수정에 대한 가이드R 서버의 액세스 제어 설정을 올바르게 구성하여.

5. 무차별의 힘 공격

Brute Force 공격은 자동화를 사용하여 작동 할 때까지 다양한 사용자 이름/비밀번호 조합을 시도합니다.종종 SSH, FTP 또는 제어판 로그인을 대상으로합니다.

무차별 포스 공격을 지키는 방법 :

강력하고 독특한 암호를 사용하십시오
"admin123"과 같은 기본 자격 증명이나 간단한 비밀번호를 사용하지 마십시오.글자, 숫자 및 기호가 혼합 된 긴 암호를 사용하고 서비스를 통해 재사용하지 마십시오.

로그인 시도 제한
몇 가지 실패한 로그인 시도 후 IP 주소를 일시적으로 차단하도록 시스템을 설정하십시오.이로 인해 자동 스크립트가 느려지고 무차별 인력 공격이 덜 효과적입니다.

2 요인 인증 활성화 (2FA)
누군가가 당신의 비밀번호를 받더라도 앱이나 문자 메시지의 코드와 같이 두 번째 확인 단계가 없으면 들어 가지 않습니다.

비밀번호 대신 SSH 키를 사용하십시오
서버 액세스의 경우 비밀번호 기반 로그인에서 SSH 키로 전환하십시오.그들은 깨기가 훨씬 어렵고 인증하는 더 안전한 방법을 제공합니다.

좋은 출발점은입니다 SSH 포트 변경자동 공격을 덜 효과적으로 만들 수 있습니다.또한 사용합니다 SSH 키 기반 인증 암호만으로보다 강력한 보호 기능을 제공합니다.

6. 분산 서비스 거부 (DDOS)

이러한 공격은 서버에 트래픽으로 침수되어 속도가 느려지거나 충돌합니다.DDOS는 많은 소스에서 나오기 때문에 특히 위험하며 소스를 추적하는 것은 거의 불가능합니다.

DDOS 공격에 대한 노출을 줄이기 위해 :

콘텐츠 전달 네트워크 (CDN) 사용
대부분의 사람들은 사용합니다 콘텐츠 전달 네트워크 여러 위치에서 사이트 컨텐츠를보다 효과적으로 제공합니다.또한 공격자가 원래 서버를 압도하고 유해한 트래픽을 필터링하기가 더 어려워 질 수 있습니다.

속도 제한을 설정합니다
요금 제한은 누군가가 짧은 시간에 요청을 할 수있는 빈도를 제한합니다.한 사용자 나 IP가 너무 많은 것을 보내면 일시적으로 차단됩니다.

비정상적인 스파이크에 대한 트래픽을 모니터링하십시오
트래픽 패턴을 주시하십시오.방문, 특히 단일 엔드 포인트로의 갑작스런 점프는 DDOS 공격의 징후가 될 수 있습니다.

Origin Server의 IP를 숨 깁니다
공격자가 실제 서버 IP를 알면 직접 타겟팅 할 수 있습니다.IP를 마스크하거나 프록시하는 서비스를 사용하면 타격을 흡수하는 데 도움이 될 수 있습니다.

당신은 할 수 있습니다 원산지 IP를 보호하십시오 CloudFlare와 같은 서비스를 사용하여 보안 및 웹 사이트 성능 향상의 다른 이점을 제공합니다.

DDOS 공격, 위험 및 완화 전략에 대한 더 깊은 이해는 다음을 참조하십시오. DDOS 공격은 무엇입니까?위험, 예방, 완화.

7. 구식 소프트웨어 및 방치되지 않은 취약점

오래된 플러그인, 제어 패널 또는 CMS 버전을 사용하면 알려진 익스플로잇이 가능합니다.

구식 소프트웨어의 위험을 줄이기 위해 :

정기적 인 업데이트 일정을 설정하십시오
물건이 깨질 때까지 기다리지 마십시오.자동화 된 도구를 사용하는 경우에도 OS, 제어판, CMS, 플러그인 및 서버 소프트웨어를 일반 업데이트주기에 유지하십시오.

사용하지 않은 응용 프로그램 및 서비스를 제거하십시오
모든 추가 도구 또는 플러그인은 잠재적 인 위험입니다.사용하지 않는 경우 공격 표면을 줄이려면 제거하십시오.

업데이트 또는 보안 메일 링리스트를 구독하십시오
소프트웨어 공급 업체는 일반적으로 보안 문제가 발견 된대로 발표합니다.루프에 머무르면 문제가 악용되기 전에 패치에 도움이됩니다.

업데이트 테스트를 위해 준비 환경을 사용하십시오
라이브 환경의 클론에 대한 주요 업데이트를 먼저 테스트하므로 가동 중지 시간이 위험하지 않고 문제를 발견 할 수 있습니다.

구식 스크립트는 보안 위험을 창출 할뿐만 아니라 또한 가능합니다 웹 사이트 속도를 늦추십시오성능 및 신뢰성에 영향을 미칩니다.

정기적 인 유지 보수는 서버 안정성, 보안 및 전반적인 성능을 증가시킵니다.가이드에서 효과적인 유지 보수 루틴을 설정하는 방법에 대해 알아보십시오. 서버 유지 보수 계획 생성.

8. 잘못 구성된 권한

지나치게 관용 파일 또는 디렉토리 설정은 조용하지만 심각한 취약점입니다.공격자가 민감한 데이터에 액세스하거나 수정할 수 있습니다.

이를 방지하는 방법 :

최소 특권의 원리를 적용하십시오
사용자와 서비스는 필요한 액세스 만 제공합니다.누군가가 파일 만보아야하는 경우 글을 쓰거나 액세스를 실행하지 마십시오.

정기적으로 파일 및 폴더 권한을 감사합니다
액세스 할 수있는 파일을 주기적으로 확인하고 누가 액세스 할 수 있는지 확인하십시오.누구나 파일을 읽을 수 있고 쓰기 쉬운 777 권한과 같은 지나치게 광범위한 설정을 찾으십시오.

필요하지 않은 경우 루트 액세스를 사용하지 마십시오
루트로 명령이나 서비스를 실행하는 것은 위험 할 수 있습니다.무언가 잘못되면 전체 시스템에 영향을 줄 수 있습니다.루트가 절대적으로 필요하지 않은 한 사용자 수준 권한을 고수하십시오.

그룹을 사용하여 액세스를 관리합니다
사용자별로 권한을 설정하는 대신 사용자를 자신의 역할에 따라 그룹으로 구성하십시오.이를 통해 물건을 깨끗하고 안전하게 관리하기가 더 쉬워집니다.

403과 같은 오류를 피하는 데 적절한 액세스 제어가 중요합니다.이것을 사용하여 설정을 다시 방문하십시오 403 금지 된 오류 수정에 대한 안내서 의도하지 않은 노출을 방지합니다.

마무리

서버 보안은 방화벽과 비밀번호에 관한 것이 아니라 시간이 지남에 따라 위험을 줄이는 습관과 시스템을 구축하는 것입니다.

이러한 일반적인 악용을 알고 실용적인 솔루션으로 해결하기 위해 데이터를 보호 할뿐만 아니라 서비스를 신뢰할 수 있고 고객을 안전하게 유지하고 있습니다.

서버 경화 기술에 대한 포괄적 인 개요는 다음과 같이 확인하십시오. 서버 경화 및 중요한 이유.