PHP 사이트가 시작되었습니다. 축하합니다! 근데 잠깐.. 필수 보안 강화는 잘 하셨죠?
PHP는 가볍지만 매우 강력한 백엔드 프로그래밍 언어입니다. 전 세계 웹 응용 프로그램의 약 80%를 지원하므로 개발 세계에서 가장 일반적으로 사용되는 언어 중 하나입니다.
그 인기와 널리 사용되는 이유는 쉬운 코딩 구조와 개발자 친화적인 기능입니다. PHP를 기반으로 구축된 많은 CMS와 프레임워크가 있으며 전 세계에서 알려진 수천 명의 개발자가 PHP 커뮤니티의 정규 구성원입니다.
한 가지 좋은 예가 WordPress입니다.
PHP 애플리케이션이 라이브 서버에 배포되면 해킹 및 웹 공격의 여러 인스턴스에 직면할 수 있으며 이로 인해 사이트 데이터가 도난당하기 매우 취약합니다. 커뮤니티에서 가장 논쟁의 여지가 많은 주제 중 하나는 프로젝트의 모든 핵심 목표를 확인하면서 완전히 안전한 애플리케이션을 구축하는 방법입니다.
최선의 노력에도 불구하고 개발자는 애플리케이션을 개발하는 동안 눈에 띄지 않는 숨겨진 허점을 항상 경계합니다. 이러한 허점은 모든 시스템에서 중요한 사이트 데이터의 보호를 심각하게 손상시킬 수 있습니다. PHP MySQL용 웹 호스팅 앱을 해킹 시도에 취약하게 만듭니다.
따라서 이 기사는 프로젝트에서 현명하게 사용할 수 있는 몇 가지 유용한 PHP 보안 팁에 관한 것입니다. 이 작은 팁을 사용하여 애플리케이션이 항상 보안 검사를 잘 받고 외부 웹 공격에 의해 손상되지 않도록 할 수 있습니다.
목차
XSS(교차 사이트 스크립팅)
Cross-Site Scripting은 악성 코드나 스크립트를 웹사이트에 삽입하여 수행되는 가장 위험한 외부 공격 중 하나입니다. 해커가 힌트를 주지 않고 애플리케이션에 모든 유형의 코드를 삽입할 수 있으므로 애플리케이션의 코어에 영향을 줄 수 있습니다. 이 공격은 주로 사용자 데이터를 허용하고 제출하는 웹사이트에서 발생합니다.
XSS 공격에서 삽입된 코드는 웹사이트의 원래 코드를 대체하지만 사이트 성능을 방해하고 종종 데이터를 훔치는 실제 코드로 작동합니다. 해커는 애플리케이션의 액세스 제어를 우회하여 쿠키, 세션, 기록 및 기타 중요한 기능에 액세스합니다.
애플리케이션 코드에 HTML 특수 문자 및 ENT_QUOTES를 사용하여 이 공격에 대응할 수 있습니다. ENT_QUOTES를 사용하면 작은 따옴표와 큰 따옴표를 제거할 수 있으므로 교차 사이트 스크립팅 공격의 가능성을 제거할 수 있습니다.
CSRF(교차 사이트 요청 위조)
CSRF는 바람직하지 않은 작업을 수행하기 위해 해커에게 완전한 애플리케이션 제어 권한을 부여합니다. 완벽한 제어를 통해 해커는 감염된 코드를 웹사이트로 전송하여 악의적인 작업을 수행하여 데이터 도난, 기능 수정 등을 수행할 수 있습니다. 이 공격으로 인해 사용자는 기존 요청을 무의식적으로 자금 이체, 삭제와 같이 변경된 파괴적인 요청으로 변경합니다. 통지 없이 전체 데이터베이스 등
CSRF 공격은 해커가 보낸 위장된 악성 링크를 클릭해야만 시작할 수 있습니다. 즉, 감염된 숨겨진 스크립트를 알아낼 만큼 똑똑하다면 잠재적인 CSRF 공격을 쉽게 배제할 수 있습니다. 한편, 두 가지 보호 조치를 사용하여 앱 보안을 강화할 수도 있습니다. 즉, URL에서 GET 요청을 사용하고 GET이 아닌 요청이 클라이언트 측 코드에서만 생성되도록 하는 것입니다.
세션 하이재킹
세션 하이재킹은 해커가 의도한 계정에 액세스하기 위해 세션 ID를 훔치는 공격입니다. 해커는 해당 세션 ID를 사용하여 서버에 요청을 보내 세션의 유효성을 검사할 수 있습니다. 여기서 $_SESSION 어레이는 사용자가 모르게 가동 시간을 확인합니다. XSS 공격을 통하거나 세션 데이터가 저장된 데이터에 접근하여 수행할 수 있습니다.
세션 하이재킹을 방지하려면 항상 세션을 실제 IP 주소에 바인딩하십시오. 이 방법은 알 수 없는 위반이 발생할 때마다 세션을 무효화하는 데 도움이 되며, 누군가가 애플리케이션의 액세스 제어를 얻기 위해 세션을 우회하려고 한다는 것을 즉시 알려줍니다. 그리고 나중에 다른 공격으로 귀하의 신원이 손상될 수 있으므로 어떤 상황에서도 ID를 노출하지 않도록 항상 기억하십시오.
SQL 주입 공격 방지
데이터베이스는 SQL 주입 공격을 통해 해커의 표적이 되는 애플리케이션의 핵심 구성 요소 중 하나입니다. 해커가 특정 URL 매개변수를 사용하여 데이터베이스에 액세스하는 공격 유형입니다. 공격은 웹 양식 필드를 사용하여 수행할 수도 있습니다. 여기에서 해커는 쿼리를 통해 전달하는 데이터를 변경할 수 있습니다. 이러한 필드와 쿼리를 변경하여 해커는 데이터베이스를 제어할 수 있으며 전체 응용 프로그램 데이터베이스 삭제를 포함하여 여러 가지 치명적인 조작을 수행할 수 있습니다.
SQL 주입 공격을 방지하려면 항상 매개변수화된 쿼리를 사용하는 것이 좋습니다. 이 PDO 쿼리는 SQL 쿼리를 실행하기 전에 인수를 적절히 대체하여 SQL 주입 공격의 가능성을 효과적으로 배제합니다. 이 방법은 SQL 쿼리를 보호하는 데 도움이 될 뿐만 아니라 효율적인 처리를 위해 구조화됩니다.
항상 SSL 인증서 사용
인터넷을 통해 종단 간 보안 데이터 전송을 얻으려면 항상 애플리케이션에서 SSL 인증서를 사용하십시오. 서버 간에 데이터를 안전하게 전송하기 위한 HTTPS(Hypertext Transfer Protocol)로 알려진 세계적으로 인정된 표준 프로토콜입니다. SSL 인증서를 사용하여 애플리케이션은 보안 데이터 전송 경로를 확보하므로 해커가 서버에 침입하는 것이 거의 불가능합니다.
Google Chrome, Safari, Firefox, Opera 등과 같은 모든 주요 웹 브라우저는 SSL 인증서를 사용할 것을 권장합니다. SSL 인증서는 인터넷을 통해 데이터를 전송, 수신 및 해독하기 위한 암호화된 프로토콜을 제공하기 때문입니다.
브라우저에서 파일 숨기기
마이크로 PHP 프레임워크에는 컨트롤러, 모델, 구성 파일(.yaml) 등과 같은 중요한 프레임워크 파일의 저장을 보장하는 특정 디렉토리 구조가 있습니다.
대부분의 경우 이러한 파일은 브라우저에서 처리되지 않지만 더 오랜 기간 동안 브라우저에 계속 표시되어 애플리케이션에 대한 보안 침해가 발생합니다.
따라서 파일을 루트 디렉토리에 보관하지 말고 항상 공용 폴더에 저장하십시오. 이렇게 하면 브라우저에서 액세스 가능성이 낮아지고 잠재적인 공격자로부터 기능이 숨겨집니다.
결론
PHP 애플리케이션은 항상 외부 공격에 취약하지만 위에서 언급한 팁을 사용하면 악의적인 공격으로부터 애플리케이션의 핵심을 쉽게 보호할 수 있습니다. 개발자로서 웹사이트의 데이터를 보호하고 오류가 없도록 하는 것은 귀하의 책임입니다.
이러한 팁 외에도 최적의 보안 기능, 클라우드 WAF, 문서 루트 설정, 화이트리스트 IP 주소 등을 보장하는 최고의 클라우드 호스팅 솔루션 사용과 같은 많은 기술을 통해 외부 공격으로부터 웹 애플리케이션을 보호할 수 있습니다.