본문 바로가기

web

(15)
directory listing 취약점 막기(apache2) 안녕하세요 이번에는 directory listing 취약점을 방지하는 apache2설정에 대해서 설명하겠습니다. directory listing이란 디렉토리 브라우져를 통해 디렉토리의 하위 폴더와 파일들을 볼 수 있는 취약점 입니다. 아래와 같이 나타납니다.공격 방법은 폴더명이 노출 되었을 때 폴더명만 입력합니다.예를들어 /var/www/html/ 이 기본 웹 폴더 일때 하위 폴더에 static 폴더가 있다면 localhost/static/ 이렇게 입력해주시면 디렉토리 리스팅이 되는지 확인 할 수 있습니다. 패치 법 vi 혹은 eidter 프로그램으로 /etc/apache2/apache2.conf를 열어 줍니다. 아래로 쭉 내리다 보면 아래와 같은 설정 들을 볼 수 있습니다. 여기서 Indexes를 지우..
404 Not found error page 설정 (apache2 Errordocument) 안녕하세요 이번에 2017 SSG 신입생 모집 페이지를 잠깐 손보던 중에새로운걸 공부하게 되어서 글을 쓰게 되었습니다. 바로 404 error 페이지를 설정하는 방법입니다. 등등 404 말고도 여러 오류 페이지를 설정 할 수 있는 방법을 포스팅 해보도록하겠습니다. 일단 저의 apache2 버전을 보여드리도록 하겠습니다. 저의 아파치 버전입니다. 업그레이들 안한지 오래된..일단 테스트 서버가 로컬 서버이니까 양해 부탁드립니다. errordocument 파일을 수정 삭제 추가 할려면위와 같은 경로로 이동하셔야 합니다.버전마다 설정파일 위치가 약간 다를 수 있습니다.( /etc/apache2/sites-enabled)vim 으로 000-default.conf를 열어보면위외 같이 나옵니다. 여기에다 Errord..
xss를 이용한 session 탈취 1. 준비물탈취한 cookie를 받을 서버 xss 취약점이 발생하는 웹 사이트 (저는 제가 구축 했습니다.) 1. xss 취약점 test 를 입력한다. 1) 해당 게시글을 눌렀을 때 2) xss 취약점의 발생하는지 확인 한다. (정상적을 발생) 본격적 session (cookie 정보) 탈취 게시글을 다시 작성하고 위의 script 문은 자신이 원하는 서버에 cookie값을 전송줍니다. 서버에서의 처리 cookie 값을 받는 php 파일 (예시에서는 aaaa.php)$cookie=$_GET[cookie] --> get 방식으로 cookie를 전달해주므로 cookie 값을 받아 $cookie 변수에 저장해준다. $save_file=fopen("경로 ","w") 서버 안에 받아온 cookie 값을 저장해줄 ..
index of 취약점 제거(웹 시작 페이지 바꾸기) 안녕하세여 오랜만에 글을 씁니다. 저는 apache2를 사용하고 있습니다. 웹을 처음 개발을 해서 웹서버에 올리게 되면 이러한 페이지가 출력? 됩니다. apache의 버전도 나오고 var/www/html 에 있는 모든 파일들을 보여줍니다. (취약점이라고 분류될 정도로 기초적이지만 위험한 취약점입니다.) index of 를 제거 하기 /etc/apache2/mods-available/dir.conf 이 한줄을 찾기 까지 정말 많은 시간을 투자했습니다... (약 2시간 ??) 그러면 위와 같은 그림이 나옵니다. 이것은 index.html을 첫 순서로 (없으면 --> .cgi) 보여준다. 뭐 이런 의미와 동일합니다. 저는 이렇게 수정했습니다. (login.php에 원하는 문서의 이름을 입력하시면 됩니다. ) ..
Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2) 오류 Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2) 이러한 오류가 발생했을 때 해결책 : service restart mysql
웹 개발 환경구축 안녕하세여 이번에는 웹 개발 환경을 만들어보도록 하겠습니다.저는 일단 vm을 사용하고 있습니다. 준비물 vm 우분투이미지파일 자 일단 vm에서 create -- 를 클릭하여 우분트 이미지 파일을 올립니다. 저는 우분트 14.04.3버전의 image file을 다운받았습니다. (one two형이 주신..)이렇게 image 파일을 찾아서 넣은 후 설치를 하시면 됩니다.최종적으로 이렇게 우분투 설치가 진행 됩니다. 우분투가 설치되면 로그인을 하고 터미널에 접속합니다. 1. sudo apt-get update; 2. sudo apt-get install apache2; 3. sudo apt-get install libapache2-mod-auth-mysql; 4. sudo apt-get install mysql..
웹 기본 개념 안녕하세여 곳돛입니다.이번에는 웹을 배워보겠습니다. 웹이란 ? 웹의 원래 의미는 「거미집」으로 하나의 사이트나 또는 다른 사이트와의 관계가 거미집처럼 복잡하게 얽혀 있기 때문에 웹이라고 부른다.[네이버 백과] 라고 합니다. 예를 들어 설명하면 네이버,구글,tistory 등등도 모두 '웹'사이트 입니다.그럼 웹 구조에 대해서 알아보겠습니다. 웹은 사용자와 제공자가 있습니다. 1. 웹 클라이언트가 있습니다.(웹 브라우져를 통해서 웹서버에 접속한다.)2. 웹 서버가 있습니다. (웹 클라이언트와 웹 서버는 인터넷을 통해 연결됩니다.) 서비스를 요청을 하는 웹 클라이언트와 서비스를 제공하는 웹 서버,대충 web의 큰 구조는 이렇게 되어있습니다. 웹 브라우져는 chrome이나 internet Explorer등을 웹..