SSL은 암호화 된 세션을 통해 안전하게 통신 할 수있는 자신감을 웹 사이트 방문객에게 제공합니다. 신용 카드 번호 나 기타 민감한 정보를 온라인으로받는 등 안전한 전자 상거래를 원하는 기업의 경우 SSL이 필수적입니다..
SSL이 작동하려면 유효한 서명 된 SSL 인증서가 필수입니다. 인증서는 공용 키를 이름에 바인딩하는 표준 방법입니다. 공개 키 암호화는 암호화 및 암호 해독에 한 쌍의 비대칭 키를 사용하는 방법입니다. 각 키 쌍은 공개 키와 개인 키로 구성됩니다. 공개 키는 널리 배포하여 공개합니다. 개인 키는 절대로 배포되지 않습니다. 그것은 항상 비밀로 유지됩니다. 공개 키로 암호화 된 데이터는 개인 키로 만 해독 할 수 있습니다. 반대로, 개인 키로 암호화 된 데이터는 공개 키로 만 해독 할 수 있습니다. 이 비대칭 성으로 인해 공개 키 암호화가 매우 유용합니다..
귀하의 웹 사이트가 해킹 당하지 않도록하는 8 가지 방법 [웹 사이트 보안]
자체 서명 된 인증서를 생성하고 신뢰할 수있는 외부 기관에서 인증서를 :서명:할 때까지 잠시 동안 사용할 수 있습니다
VeriSign 인증 기관
또는
GeoTrust 사이트 물개
그리고 준비가 끝났습니다..
자체 서명 된 인증서로 웹 사이트에 SSL을 사용하려면 다음을 수행하십시오.
1. 사이트 탭을 클릭하십시오.
2. 웹 사이트 설정을 선택하십시오. 웹 사이트 일반 설정이 화면에 나타납니다.
3. 보안 웹 사이트 탭을 클릭하십시오. 보안 웹 사이트 요약이 화면에 나타납니다.
4. 요청 생성 버튼을 클릭하십시오. 인증서 요청 양식이 화면에 나타납니다.
5. 양식을 작성하십시오 :
1. 국가 드롭 다운 메뉴에서 거주 국가를 선택하십시오. 필요한 경우 목록을 스크롤하십시오.
2. 주 (미국 또는 캐나다) 드롭 다운 메뉴에서 주를 선택하십시오;
3. 또는 주 (다른 국가) 텍스트 상자에 귀하의 주를 입력하십시오;
4. 지역 텍스트 상자에 거주 도시 또는 거주 도시를 입력하십시오.
5. 조직 이름 텍스트 상자에 회사 이름을 입력하십시오.
6. 선택적으로 조직 단위 이름 텍스트 상자에 회사 지사 또는 제휴사 이름을 입력 할 수 있습니다.
7. 사이트 이름 텍스트 상자에 웹 사이트 이름을 입력하십시오.
6. 제출 단추를 누르십시오. 업데이트 된 보안 웹 사이트 요약이 화면에 표시됩니다. 이제 인증서 요청과 개인 키가 있지만 SSL 인증서가 없기 때문에 보안 웹 사이트를 사용할 수 없습니다.
참고 : 개인 키를 백업하는 것을 잊지 마십시오 : SSL 개인 키 세부 정보 링크 (개인 키 내용이 팝업 창에 표시됨)를 클릭하고 개인 키 내용을 파일로 복사하십시오.
7. SSL 인증서 생성 버튼을 클릭합니다. 몇 초 안에 화면이 업데이트 된 보안 웹 사이트 요약과 함께 다시로드됩니다. 이제 인증서가 설치되고 보안 웹 사이트를 사용할 수 있습니다.
8. SSL 사용 버튼을 클릭합니다..
외부 인증 기관에 인증서 요청을 보내려면 (위의 1 ~ 7 단계에서 설명한대로 인증서 요청이 이미 생성되고 개인 키가 저장된 경우)
1. 사이트 탭을 클릭하십시오. 웹 사이트 일반 설정이 화면에 나타납니다.
2. 보안 웹 사이트 탭을 선택하십시오. 보안 웹 사이트 요약이 화면에 나타납니다.
3. SSL 인증서 요청 상세 정보 링크를 클릭하십시오. 인증서 요청 내용이 팝업 창에 나타납니다.
인증서 요청 내용을 파일에 복사하여 인증 기관에 보냅니다..
인증 기관이 서명 한 SSL 인증서를 가져 오려면 다음을 수행하십시오.
1. 사이트 탭을 클릭하십시오.
2. 웹 사이트 설정을 선택하십시오. 웹 사이트 일반 설정이 화면에 나타납니다.
3. 보안 웹 사이트 탭을 클릭하십시오. 보안 웹 사이트 요약이 화면에 나타납니다.
4. SSL 인증서 설치 버튼을 클릭하십시오. SSL 인증서 가져 오기의 양식이 화면에 나타납니다.
5. 다음 중 하나를 수행하십시오.
인증서 파일 이름 텍스트 상자에 SSL 인증서가 포함 된 파일의 경로를 입력하거나 찾아보기 단추를 클릭하여 파일을 찾습니다.
2. 또는 인증서 내용 텍스트 상자에 인증서 내용을 붙여 넣습니다.
6. 제출 단추를 누르십시오. 보안 웹 사이트 요약이 화면에 나타납니다.
7. SSL 사용 버튼을 클릭하십시오..
백업 SSL 인증서와 개인 키를 모두 가져 오려면 다음을 수행하십시오.
1. 사이트 탭을 클릭하십시오.
2. 웹 사이트 설정을 선택하십시오. 웹 사이트 일반 설정이 화면에 나타납니다.
3. 보안 웹 사이트 탭을 클릭하십시오. 보안 웹 사이트 요약이 화면에 나타납니다.
4. SSL 파일 설치 단추를 클릭하십시오. SSL 키와 인증서 가져 오기의 양식이 화면에 나타납니다.
5. 키와 인증서를 제출하십시오.
1. 개인 키가 들어있는 파일의 경로를 입력하십시오. 개인 키 파일 이름 텍스트 상자 (파일을 찾으려면 찾아보기 단추 클릭) 또는 개인 키 내용 텍스트 상자에 개인 키 내용을 붙여 넣으십시오.
2. 인증서 파일 이름 텍스트 상자에 SSL 인증서가 포함 된 파일의 경로를 입력하고 (찾아보기 단추를 클릭하여 파일을 찾습니다) 인증서 내용 텍스트 상자에 인증서 내용을 붙여 넣습니다.
6. 제출 단추를 누르십시오. 보안 웹 사이트 요약이 화면에 나타납니다.
7. SSL 사용 버튼을 클릭하십시오..
노트:
Netscape 및 Mozilla 브라우저는 웹 사이트가 전송 된 데이터의 암호화를 사용하는지 여부를 자동으로 감지합니다 (Internet Explorer의 경우 IE를 사용하는 웹 사이트 방문자에게 Internet Explorer 5.0 이상을 사용하도록 권장합니다). 따라서 자체 서명 된 인증서를 사용하면 웹 사이트 방문자가 웹 사이트에서 암호화를 사용한다는 알림을 받지만 인증서에 서명 한 기관은 인식되지 않습니다. 따라서 웹 사이트에서 전자 상거래를 수행하려는 경우 VeriSign 또는 Thawte가 서명 한 SSL 인증서를 얻는 것이 좋습니다..
보안 웹 사이트는 IP 기반 웹 사이트 (즉, 다른 웹 사이트와 IP 주소를 공유하지 않는 웹 사이트)에서만 사용할 수 있습니다. 따라서 서버에 여러 개의 웹 사이트가 있고 단 하나의 IP 주소가있는 경우이 사이트 중 하나만 SSL에 대응할 수 있습니다. GeoTrust Power Server ID 와일드 카드 인증서로 이동하십시오..
질문, 질의 또는 피드백이 TheSSLStore.com에 보내주십시오. 귀하의 웹 사이트를 보호하는 방법 인터넷상의 대부분의 사람들은 선량하고 정직한 사람들입니다. 그러나 인터넷을 탐색하는 일부 사람들이 웹 사이트를 파고 보안 구멍을 찾아서 재미를 얻습니다. 몇 가지 간단한 팁을 통해 기본 방법으로 웹 사이트를 보호 할 수 있습니다. 분명히 데이터 보안의 주제는이 칼럼의 범위를 벗어나는 복잡한 방법입니다. 그러나 나는 사람들이 할 수없는 것들을 볼 수있는 많은 잠재적 인 문제를 완화시킬 수있는 기초를 다룰 것이다..
암호로 보호하는 디렉토리
서버에 비공개로 유지해야하는 디렉토리가있는 경우 사람들이 디렉토리 이름을 추측하지 못하게하십시오. 서버 수준에서 폴더를 암호로 보호하는 것이 좋습니다. 웹 사이트의 50 % 이상이 Apache 서버에 의해 구동되므로 Apache의 디렉토리를 비밀번호로 보호하는 방법을 살펴 보겠습니다..
Apache는 디렉토리에있는 .htaccess 파일을 통해 구성 명령을받습니다. .htaccess의 명령은 특정 하위 폴더 내에 고유 한 .htaccess 파일이없는 경우 해당 폴더 및 모든 하위 폴더에 영향을줍니다. 폴더를 암호로 보호하기 위해 Apache는 .htpasswd라는 파일도 사용합니다. 이 파일에는 액세스 권한이 부여 된 사용자의 이름과 암호가 들어 있습니다. 암호는 암호화되어 있기 때문에 htpasswd 프로그램을 사용하여 암호를 만들어야합니다. 액세스하려면 서버의 명령 행으로 이동하여 htpasswd를 입력하십시오. :명령을 찾을 수 없습니다:라는 오류 메시지가 나타나면 시스템 관리자에게 문의하십시오. 또한 많은 웹 호스트가 디렉토리를 보호하기 위해 웹 기반 방법을 제공하므로 사용자가 스스로 디렉토리를 설정하는 대신 사용자가 직접 설정할 수 있도록 설정할 수 있습니다. 이것을 막으려 고, 계속합시다..
:htpasswd -c .htpasswd myusername:을 입력하십시오. :myusername:은 원하는 사용자 이름입니다. 그런 다음 암호를 묻는 메시지가 나타납니다. 이를 확인하면 파일이 생성됩니다. FTP를 통해이를 다시 확인할 수 있습니다. 또한 파일이 웹 폴더 내에있는 경우 이동하여 일반인이 액세스 할 수 없도록해야합니다. 이제 .htaccess 파일을 열거 나 작성하십시오. 내부에는 다음을 포함하십시오.
AuthUserFile /home/www/passwd/.htpasswd
AuthGroupFile / dev / null
AuthName :보안 폴더:
기본 AuthType
유효 사용자가 필요하다.
첫 번째 행에서 .htpasswd 파일이있는 디렉토리 경로를 조정하십시오. 설정이 완료되면 웹 사이트에서 해당 폴더를 방문 할 때 팝업 대화 상자가 나타납니다. 보시려면 로그인하셔야합니다.
디렉토리 목록 해제
기본적으로 웹 사이트에서 인식 된 홈페이지 파일 (index.htm, index.php, default.htm 등)이없는 디렉토리는 해당 폴더의 모든 파일 목록을 대신 표시합니다. 사람들이 가지고있는 모든 것을 사람들이 보지 못하게 할 수 있습니다. 이를 방지하는 가장 간단한 방법은 빈 파일을 만들고 이름을 index.htm으로 지정한 다음 해당 파일을 폴더에 업로드하는 것입니다. 두 번째 옵션은 다시 .htaccess 파일을 사용하여 디렉토리 목록을 비활성화하는 것입니다. 이렇게하려면 파일에 :Options -Indexes:줄을 포함하십시오. 이제 사용자는 파일 목록보다는 403 오류를 받게됩니다..
설치 파일 제거
웹 사이트에 소프트웨어와 스크립트를 설치하면 설치 스크립트 및 / 또는 업그레이드 스크립트와 함께 제공됩니다. 이 소프트웨어를 서버에 남겨두면 엄청난 보안 문제가 발생합니다. 누군가 다른 사람이 소프트웨어에 익숙하다면 설치 / 업그레이드 스크립트를 찾아 실행하여 전체 데이터베이스, 설정 파일 등을 재설정 할 수 있기 때문입니다. 잘 쓰여진 소프트웨어 패키지는 소프트웨어를 사용하기 전에 이러한 항목을 제거해야합니다. 그러나 이것이 완료되었는지 확인하십시오. 서버에서 파일을 삭제하기 만하면됩니다..
보안 업데이트 유지
웹 사이트에서 소프트웨어 패키지를 실행하는 사용자는 해당 소프트웨어와 관련된 업데이트 및 보안 경고를 계속해야합니다. 그렇게하지 않으면 해커에게 너를 열어 놓을 수있다. 실제로 많은 경우 눈부신 보안 구멍이 발견되어보고되고 있으며 소프트웨어 제작자가 패치를 릴리스하기 전에 지연이 있습니다. 그렇게 생각하는 사람은 업그레이드하지 않으면 사이트에서 소프트웨어를 실행하고 취약점을 악용 할 수 있습니다. 나 자신이 몇 번이나 화상을 입었고 전체 포럼이 파괴되어 백업에서 복원해야했다. 그것은 일어난다..
오류보고 수준 줄이기
이것이 PHP에서 주로 사용되는 이유는 그것이 PHP에서 발생하는 오류와 경고가 기본적으로 브라우저에 전체 정보와 함께 인쇄되기 때문입니다. 문제는 이러한 오류가 대개 해당 스크립트에 대한 전체 디렉토리 경로를 포함한다는 것입니다. 너무 많은 정보를 제공합니다. 이것을 줄이기 위해 PHP의 오류보고 수준을 줄이십시오. 두 가지 방법으로이 작업을 수행 할 수 있습니다. 하나는 php.ini 파일을 조정하는 것입니다. 이것은 서버의 PHP 기본 구성입니다. error_reporting 및 display_errors 지시어를 찾습니다. 그러나이 파일에 대한 액세스 권한이 없으면 (많은 공유 호스팅에서는 그렇지 않음) PHP의 error_reporting () 함수를 사용하여 오류보고 수준을 줄일 수도 있습니다. 이것을 스크립트의 글로벌 파일에 포함 시키면 보드 전체에서 작동합니다..
양식 보안
양식은 해커가 제대로 코드를 작성하지 않으면 서버에 넓은 구멍을 뚫습니다. 이러한 양식은 대개 서버의 일부 스크립트에 제출되기 때문에 데이터베이스에 대한 액세스 권한이있는 경우 일부 보호 기능을 제공하지 않는 양식은 해커가 모든 종류의 항목에 직접 액세스 할 수있게 해줍니다. 명심하십시오 ... 당신이 주소 필드를 가지고 있고 그 앞에 :주소:가 있다고해서 사람들이 그 필드에 주소를 입력하는 것을 신뢰할 수 있음을 의미하지는 않습니다. 양식이 올바르게 코딩되지 않았고 스크립트가 제출되는 스크립트가 아니라고 가정 해보십시오. 해커가 SQL 쿼리를 입력하거나 해당 주소 필드에 코드를 스크립팅하는 것을 어떻게 막을 수 있습니까? 이를 염두에두고 수행 할 몇 가지 사항은 다음과 같습니다.
MaxLength 사용. 양식의 입력 필드는 양식의 입력 길이를 제한하기 위해 HTML의 maxlength 속성을 사용할 수 있습니다. 사람들이 너무 많은 데이터를 입력하는 것을 막기 위해 이것을 사용하십시오. 이것은 대부분의 사람들을 멈출 것입니다. 해커가이를 우회 할 수 있으므로 스크립트 수준의 정보 오버런으로부터 보호해야합니다..
이메일 숨기기양식 - 메일 스크립트를 사용하는 경우 전자 메일 주소를 양식 자체에 포함시키지 마십시오. 그것은 포인트를 물리 치고 스팸 스파이더는 여전히 귀하의 이메일 주소를 찾을 수 있습니다.
양식 유효성 검사 사용. 여기서 프로그래밍에 대한 교훈을 얻지는 않겠지 만 양식을 제출하는 모든 스크립트는받은 입력을 검증해야합니다. 받은 필드가 예상 필드인지 확인하십시오. 들어오는 데이터가 합리적이고 예상되는 길이와 적절한 형식인지 확인하십시오 (전자 메일, 전화, zip 등의 경우)..
SQL 삽입 피하기. SQL 인젝션에 대한 전체 레슨은 다른 기사를 위해 예약 될 수 있지만 기본적으로 양식 입력은 유효성 검사없이 SQL 쿼리에 직접 삽입 될 수 있으므로 해커가 웹 양식을 통해 SQL 쿼리를 실행할 수 있습니다. 이를 방지하려면 항상 들어오는 데이터 (숫자, 문자열 등)의 데이터 유형을 확인하고 위의 적절한 양식 유효성 검사를 실행하고 해커가 양식에 아무 것도 삽입 할 수 없도록 쿼리를 작성하십시오 너가 의도 한 것 아닌 다른 것.
결론
웹 사이트 보안은 오히려 관련된 주제이며, 이보다 더 많은 기술이 필요합니다. 그러나, 나는 당신에게 귀하의 웹 사이트에 대한 위협의 대부분을 완화하기 위해 귀하의 웹 사이트에서 할 수있는 쉬운 일들에 대한 기본적인 입문서를주었습니다..