순수 html과 css만을 이용한 웹 페이지는 해킹이 불가능한가요?

lbm200의 이미지

보안쪽에는 완전 초보입니다..

예를들어 html과 css만 사용해서 웹 페이지 만든후, 웹 호스팅 업체의 서버에 업로드해 올리는 경우,

다시말해, 클라이언트 서버 양쪽 모두 어떠한 스크립트도 없고, 순수 html, css 단 두 개의 파일만 서버에 존재해 있다면

그 웹페이지는 모든 종류의 해킹이 100% 불가능한가요?

DarkSide의 이미지

왜 그렇게 생각하시는지.
오히려 더 쉽게 해킹이 되죠.
당장 브라우저로 소스를 볼 수도 있습니다.

lbm200의 이미지

사실, 워드프레스로 웹 페이지를 제작할 계획인데

보니까 좀 자유도가 떨어져서 계획을 접었습니다.

단순한 소개 페이지라 회원제, 게시판, DB 등은 필요 없는 상태이고

그래서 입력폼이 단 하나도 없다면,

다시말해, 사용자가 입력할 수 있는 곳이 단 한 군데도 없다면

그런 종류의 해킹과 또 그 외 모든 종류의 해킹이 불가능하지 않을까 해서요.

아마 이렇게 해도 ddos 는 가능한거 같긴한데,,,,

그냥 스트립트 없이 html 태그로만 만들고 호스팅 업체 서버에 html + css 딱 두개의 파일만 업로드하면 어떤 종류의 해킹이 가능한 것인지

알아보는 중인데 확실한 정보가 없어서 질문드립니다..

소스에 단순 html 태그만 존재하는데 이걸로도 해킹이 가능하다는 말씀이신가요??

제가 보안에 초보라서 지식이 없네요;;

DarkSide의 이미지

html 의 소스를 바꾸는 해킹 정도가 가능할 것 같습니다.

lbm200의 이미지

그것도 문제네요,, 호스팅서버 계정과 비번을 알아냄으로써 가능하다는 말씀이신가요??

이것때문에 워드프레스를 써야하나 말아야 하나 고민중이었습니다.

직접 제작할시에 보안관련 코딩이 필요하겠네요..

감사합니다...

익명 사용자의 이미지

브라우저로 소스를 보는 게 왜 해킹이죠

익명 사용자의 이미지

그게 궁금하긴 한데, 사용자가 소스를 보고 수정하더라도 서버에 그걸 어떻게 적용시킬수 있는지
저로서는 아직 감이 안 잡히네요,,

익명 사용자의 이미지

웹 페이지만 봤을 때는 공격 벡터가 없을 것으로 보이고, 좀 더 큰 그림을 본다면 생길 수도 있겠네요

익명 사용자의 이미지

개발자가 실수로 (사용자에게 노출되어선 안 될) 민감한 정보를 그저 주석 처리하거나 display:none 따위로 감춰둔 채 html 파일에 그대로 두었다면, 사용자가 웹 페이지의 소스 코드를 통해 그 정보를 열람할 수 있겠지요.

물론 이건 html+css로 만든 홈페이지에만 국한되는 문제가 아니기는 합니다. 이걸 해킹이라고 볼 수 있을지도 의견이 좀 갈릴 수 있겠고요.

(저런 멍청한 짓을 누가 하는가 싶겠지만, 인터넷 세상은 끝없이 넓고 몇몇 웹 개발자들의 안일함 역시 끝이 없더랍니다.)

세벌의 이미지

html 파일과 css 파일만 서버에 올려놓으면 그냥 서비스가 되는 게 아닙니다. 아파치 서버 또는 asp 서버 등 웹서비스를 위한 프로그램이 돌아가야죠. 해당 서버의 취약점을 발견해서 뚫고 들어간다면 해킹이 가능할 수도 있겠네요.

그런데, 일단 시작해보세요. 시작하기도 전에 고민만 하다가 아무것도 못하실 거 같아요.

김정균의 이미지

질문자의 의도는 웹 개발시의 보안을 의미하는 것 같은데 다들 너무 넓은 의미로 얘기를 하는 것 같습니다.

일단, 웹 컨텐츠의 보안 측면에서 보았을 경우, 의도치 않은 실수만 없다면 (html 내용 중에 공개된 페이지에 주소록 같은 것이 공유 되는 등..) 궂이 문제가 될 소지는 없습니다. 거의 100% 문제가 없다고 보아도 될 것 같습니다.

침입이라는 것이 열려있지 않아야 할 통로가 있다는 얘기인데, html 자체로는 단방향이기 때문에 위에서 기수한 것과 같이 어이없는 실수가 없다면 발생할 일은 없습니다. 웹 컨텐츠 측면에서는 양방향 통신을 하기 위해서는 GCI (common gateway interface) 라는 것을 이용하는 것인데, 순수 html 에서는 CGI 구현이 불가능 하기 때문이죠.

더군다나 스크립트를 전혀 사용하지 않았다는 가정을 하였기 때문에 CR/RF 도 불가능 합니다.

다만 CGI 가 아니라도, 웹 서버 데몬의 보안 측면까지 추가를 하자면, 상황은 많이 바뀌게 됩니다. static html page 만 존재를 한다고 하더라도, 웹서버 설정이나 웹서버 데몬, 아니면 웹서버의 커널의 버그로 인하여 의도치 않은 통로가 만들어 질 수 있기 때문 입니다.

당장 웹에 대한 모든 보안을 다 습득하기는 쉽지 않습니다. 우선적으로는 웹 개발적인 측면에서 OWASP-10 정도를 먼저 공부를 하시고, 개발자라면 웹서버에 대한 공부및 보안공부도 해 놓는 것이 좋을 듯 싶습니다.

개발에 여유가 있으면 서버 운영에 대해서도 고민해 보시고요.

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.