장고 admin 페이지 보안

보안 관련한 문제는 두 가지로 나눠서 생각할 수 있습니다. 밖에서 오는 위협과 안에서 발생하는 위협입니다. 무작위 공격 같은 외부에서 오는 위협일 경우, 리버스 프록시나 클라우드 플레어 같은 도구들을 활용해 어느 정도 미연에 방지 가능합니다. 직접 구현하여 사용하신다면 특정 IP차단, MAC 주소를 통한 사용자 식별, 요청 큐를 통한 처리 등의 방법이 있겠습니다. 내부에서 발생하는 위협 같은 경우의 수가 너무 풍부합니다. 사실 창의적으로 나쁜 놈이나 멍청한 사람이 없기를 기도 하는게 원칙입니다. 그래도 일반적으로 지키는 지침은 존재합니다. 1. admin 페이지 클라이언트에 정보 노출을 최대한 줄이세요. 클라이언트에서 개발자 도구 등을 통해 알 수 있는 정보를 최대한 줄여야 합니다. 보통 난독화 등의 기술을 사용합니다. 2. 서버 내부 로직, sql을 추론할 수 있는 인터페이스 이름을 사용하지 마세요. 전부 그러기 쉽지 않지만 예민한 정보들에 한하여 이 지침을 적용할 수 있도록 노력해 보세요. 3. (http)요청 헤더를 엄격하게 다루세요. 프레임워크가 기본적으로 제공해 주는 요소들 위에 검증을 위한 헤더들을 사용하세요. 이 정도만 해도 어느 정도 위협에 대비할 수 있습니다. 사실 진짜 실력 있는 사람이 맘먹고 뚫으려고 하는 자들을 완전히 막을 길은 없습니다. 철저한 보안을 위해선 모니터링과 대응이 중요할거 같습니다.