Web - Security
-
ip 주소 차단하기Web - Security/Server Side 2023. 9. 27. 12:17
접속 로그를 보다 악성공격을 시도한 기록이 확인되었다 시간을 보니 파이썬과 같은 스크립트를작성해서 데이터 베이스 로그인 페이지를 찾아본거 같다 이 ip 주소 말고 다른 ip 주소도 데이터베이스 접속 페이지를 찾으려는 시도가 보여서 ip를 차단하기로 했다 ip 차단하기전의 모습이다 apache2 설정파일에서 위와 같이 차단할 ip들을 공백으로 구분하여 1줄에 4개씩 입력해두었다 지금 서비스중인 페이지는 외국을 대상으로 하지 않기에 외국 ip는 모두 차단했다 저장을 누르고 apache2 를 재시작해줘야 적용된다
-
서버 정보 숨기기1 ( APM )Web - Security/Server Side 2023. 8. 19. 21:46
사이트를 만들고 포트포워딩을 통해 외부 접속을 허용하기 전에 서버 정보를 숨기도록 했다 위 사진에서 3번째 줄에 서버의 정보가 그대로 포함되어 있는것을 볼 수 있다 php 정보를 먼저 확인했다 위와 같이 expose_php 는 off로 정보 노출이 되지 않는 상태이다 다음으로 서버 정보를 없애도록 했다 apache2.conf 파일 맨 아래에 위와 같이 정보를 추가했다 서버를 재시작하니 위와 같이 웹 서버의 종류인 Apache만 나와있다
-
Captcha - Brute Force(KNN)Web - Security/Login 2023. 7. 19. 12:48
PHP, MySQL로 간단한 로그인 페이지를 구현하였으며 PHP를 이용하여 Captcha 이미지를 생성해 내도록 하였다 실제 사이트에 사용하기엔 보안이 매우 취약하므로 사용하지 않아야 하며 Brute Force를 쉽게 하기위해 0부터 9까지의 숫자만 사용하였다 본 실습은 모두 본인이 소유한 서버와 사이트를 대상으로 진행되었습니다. KNN 이란? KNN은 최근접 이웃법으로 분류 문제에 사용하는 알고리즘이다 새로운 데이터가 들어왔을 때 기존 데이터의 그룹 중 어떤 그룹에 속하는지 분류하는 문제에 주로 이용된다 로그인 페이지 위와 같이 로그인 페이지와 캡차 이미지를 간단히 구현했다 훈련 데이터 생성 로그인 페이지에서 생성된 캡차 이미지를 다운받는다 이때 0부터 9까지 모든 숫자가 있어야 하므로 여러 장 다운로..
-
CSRF (Cross Site Request Forgery) 기초Web - Security/XSS & CSRF 2023. 5. 24. 20:16
CSRF (Cross Site Request Forgery) 의 목적 이용자가 CSRF가 적용된 링크를 클릭하도록 만든 후 이용자의 정보를 이용하여 이용자도 모르게 추가적인 요청을 보내는 것이다 CSRF (Cross Site Request Forgery) 란? 웹 서비스는 쿠키 또는 세션을 사용해 이용자를 식별한다 CSRF는 누군가의 쿠키를 사용할 수 있다면, 누군가의 권한으로 웹 서비스의 기능을 사용할 수 있다는 것을 이용한다 CSRF는 임의 이용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점이다 CSRF의 이용 방법 비밀번호 변경하기 누군가가 내가 만들어논 URL을 클릭하고 피싱사이트에 접속을 한 뒤 로그인을 했다고 가정하자 로그인을 하면 아이디와 비밀번호가 서버로 전송이 될 것인데 ..