Apache 서버 http -> https 리다이렉트(https redirect) SSL 인증서를 설치했음에도 https 로 자동으로 안들어가지는 이유는 서버에서 http 를 https 로 리다이렉트 설정을 해놓지 않았기 때문이다. 아래는 Apache httpd.conf 파일에서 설정을 하는 방식이다. ...... RewriteEngine on RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} 웹 취약점 2020.12.22
쿠키 보안속성(cookie secure 속성) 쿠키의 보안속성 설정에 대해서 알아보자. 쿠키란? - 세션 관리를 위한 세션 토큰 저장 - 팝업 창의 오늘하루 보지않기 등의 제한 설정을 위한 데이터 저장 - 광고를 위한 사용자의 관심정보 파악 true Java 6 이상이면서 Servlte 버전이 3.0 이상인 경우 위의 형식으로 WEB-INF/web.xml 의 파일에 설정을 해주면 되겠다. 웹 취약점 2020.12.22
아파치 디렉토리 인덱싱(디렉토리 목록 노출) 보통 웹서버를 셋팅할때 기본페이지를 설정하게 되는데 기본페이지가 설정되지 않으면 디렉토리 목록을 노출하게된다. 디렉토리 목록을 노출하게 되면, 서버의 소스나 파일들을 자유롭게 확인 및 다운로드가 가능해지므로 보안상의 문제가 발생하게 된다. ********************** Options Indexes ********************** 아파치에서 httpd.conf 파일을 찾아 이런식으로 Indexes 로 설정되어있는 부분을 찾은 후, 방법 1. ********************** Options --Indexes ********************** 방법 2. ********************** Options= ********************** 두가지의 방식 중 하나를 .. 웹 취약점 2020.11.25
크로스사이트 스크립팅(XSS) XSS : Cross Site Scripting - 사이트를 교차해서 스크립트를 발생시키는 것 - 웹에서 파라미터나 게시글 등 자바스크립트같은 스크립트 언어로 개발자가 개발하지 않은 기능을 작동시키는 것 기본예제의 그림처럼 url 뒤에 넘어오는 파라미터에 자바스크립트를 삽입하거나 게시글내용에 직접 입력하는 등 방법이 다양하다. 자바에서 아주 간단하게 막는 방법을 소개하겠다. 다른 설정 없이 파라미터를 받아서 수정을 하는 방법이다. String type = request.getParameter("type"); type.replaceAll("",">"); type.replaceAll("\"","""); type.replaceAll("script",""); articleVO.setType(type); 이런식으.. 웹 취약점 2020.11.24
아파치서버 HTTP METHOD 제한 아파치서버에서 HTTP METHOD 제한하는 방법이다. 아파치서버 설치 경로를 들어가 httpd.conf 파일을 열어서 해당 웹 사이트의 경로를 찾아 굵을글씨를 입력하게 되면 완성이다. GET, POST 의 메소드 말고는 제한한다는 의미이다. Order deny,allow Deny from all 웹 취약점 2020.11.05