Always-Try(정보보안 및 일상)

SQL Injection 더보기 1. 개요 Web Application에서 입력 받아 데이터베이스로 전달하는 정상적인 SQL 쿼리를 변조, 삽입하여 불법 로그인, DB 데이터 열람, 시스템 명령 실행 등을 수행하여 비정상적인 데이터베이스 접근을 시도하는 공격 기법 2. 종류 Form SQL Injection Union SQL Injection Stored Procedure SQL Injection Mass SQL Injection Error-Based SQL Injection Blind SQL Injection 3. 대응 방법 입력값에 대한 검증 수행 SQL Injection 관련 특수문자들 치환 php.ini의 magic_quotes_gpc = on mysql_real_escape_string() 함수..

iptables 사용 문법 더보기 1. 형식 iptabels [테이블] -[A | -I | -D] [체인] [룰] [타겟] [테이블] 미설정 시 디폴트로 filter 테이블 적용 (대부분 여기 해당) '-[A | I | D] [체인]' -A: append 모드, 해당 체인의 제일 마지막 줄에 추가 (대부분 여기에 해당) -I: insert 모드, 해당 체인의 첫 행에 룰을 추가 -D: 특정 행의 체인을 삭제하거나 체인 전체를 삭제할 때 사용 체인 종류: INPUT, OUTPUT, FORWARD 2. 테이블 미설정 시 디폴트로 filter 테이블 적용 (대부분 여기 해당) 3. -[A | -I | -D] [체인] -A: append 모드, 해당 체인의 제일 마지막 줄에 추가 (대부분 여기에 해당) -I: ..

웹 로그 포맷(ELF) 더보기 1. 순서 Host > Ident > Authuser > Date and Time > Request > Status > Bytes > Referer > User-Agent 클라이언트의 호스트명 또는 주소 > 클라이언트 사용자 이름 보통 - 로 대체 > 인증이 요청된 원격 사용자 이름, 보통 - 로 대체 > 요청 시간 > 실제 요청 라인(요청 메소드 + 요청 URL + HTTP 버전) > 요청 처리 결과 > 서버에서 클라이언트로 전송된 헤더를 제외한 응답데이터 크기 > 이전 참조 URL > 클라이언트 OS 및 브라우저 버전 정보 2. 예시 227.123.133.11 - - [05/Sep/2021:21:57:25 +0900] "GET /doc/mod/directives.html..

디렉터리 리스팅 취약점 더보기 1. 개요 인덱싱(리스팅) 기능이 활성화가 되어 있을 경우, 공격자가 강제 브라우징을 통해 서버 내의 모든 디렉터리 및 파일 목록을 볼 수 있는 취약점 2. 대응 방법 (리눅스 아파치) httpd.conf에서 디렉터리 인덱싱 기능 제거 Options Indexes (취약) -> Options None (안전) (윈도우 IIS) 사이트 등록 정보 > 홈 디렉터리 > 디렉터리 검색 기능 해제 웹 서비스 메소드 설정 취약점 더보기 1. 개요 GET, PUT 이외에 DELETE 등 불필요한 메소드를 허용 했을 때, 공격자가 이를 이용하여 파일 생성 및 삭제를 하는 취약점 2. 대응 방법 (리눅스 아파치) httpd.conf에서 불필요한 메소드 사용 제한 Order allow, de..