파일 보안 제출

Question

사용자가 파일 (pdf, doc, xls)을 제출할 웹 사이트가 있습니다.

1. 제출하는 동안 파일의 보안을 유지하려면 어떻게해야합니까?

2. 파일이 보안/해커 증명이 될 수 있도록 내 서버에 설치해야하는 보안 유형은 무엇입니까?

3. 사용자가 우리 직원과 관계없이 암호를 다시 설정할 수 있도록 암호를 다시 설정하는 것이 좋습니다. 이메일을 기본 당 사용자 ID를 확인한 다음 잊었 암호가 이메일을 넣어해야합니다

이 내가 생각하고있는 것입니다. 이것이 정확하고 자동 이메일이 임시 비밀번호로 생성 될 경우. 그런 다음 임시 암호를 입력해야하고 또 다른 두 상자가 새 암호 (새 암호, 암호 확인)를 요청할 것입니다.

아무런 조언을 해주지 만 가장 중요한 점은 1과 2입니다. 미리 도움을 주셔서 감사합니다.

Answer 1

제출하는 동안 파일의 보안을 유지하려면 어떻게해야합니까?

제출 중? 사용자와 사용자 간의 man-in-the-middle 공격으로 문서의 내용이 누출 될 염려가 있다면 유일한 해결책은 HTTPS (SSL)을 사용하는 것입니다. CA에서 서버 인증서를 구입해야합니다.

서버가 보안/해커 증거가 될 수 있도록하기 위해 보안을 설정해야하는 보안 유형은 무엇입니까?

1. 개방 (또는 방화벽) 불필요한 서비스를 공공 인터넷 및 모든 관리 서비스 (예. SSH)을 보장하지 않음으로써 일반적으로 해킹에서 서버를 보호 적절히 강력한 계정 암호 또는 키에 의해 보호됩니다 . FTP를 실행하지 마십시오 !!

2. 보안 대책을 통해 사용자를 유인 할 수있는 웹 응용 프로그램 자체의 일반적인 보안 오류는 피하십시오. SQL 삽입, 크로스 사이트 스크립팅, 크로스 사이트 요청 위조 : 이것은 큰 주제입니다! OWASP을 시작하는 것이 좋습니다.

3. 웹 루트 서버에 파일을 저장하지 마십시오. 대신 응용 프로그램에 적합한 방법으로 액세스를 제어하는 ​​자체 스크립트를 통해 서비스하십시오. 또한 content-sniffing attacks (특히 IE 사용자의 경우) 사이트 간 스크립팅 위험을 방지하려면 'Content-Disposition : attachment'를 사용하여 서비스를 제공하고 사이트와 다른 호스트 이름을 통해 서비스를 제공해야합니다.

그런 다음 그들은 임시 암호를 입력해야하고, 또 다른 두 개의 상자 (암호를 확인, 새 암호) 새 암호를 요청하는 것입니다.

이런 종류의 일은 일반적인 접근 방식입니다.그러나 일반적으로 임시 비밀번호가 아닌 비밀번호를 변경할 수 있도록 메일로 전송되는 별도의 토큰 (보통 클릭 가능한 링크의 매개 변수로)을 통해 수행됩니다. 물론 잊어 버린 요청에 대한 응답으로 사용자의 주 암호가 즉시 변경되지 않아야합니다. 그렇지 않으면 계속해서 암호를 변경하여 다른 사용자를 해칠 수 있습니다.