IT의 신

웹취약점 점검에서 요청 및 응답 값 내 주요정보 포함 1. 개요 Tomcat으로 요청을 보낸 후, Response Header를 확인하여 보면, 다음의 "Apache-Coyote/1.1"과 같이 Server: 정보가 노출된다. 크롬 브라우저의 요소 검사 기능 혹은 curl 명령어를 이용해서 확인해 볼 수도 있다. curl -i http://localhost 혹은 피들러로 확인해 볼 수 있다. 피들러에서 보면 HTTP/1.1 200 OK Server: Apach-Coyote/1.1 Content-Type: text/html;charset=UTF-8 Content-Language: ko Transfer-Encoding: chunked Date: Tue , 02 Jan 2018 04:33:57 GMT 이런식으..

피들러를 다운받아 설치하고 실행한다. 명칭은 Progress Telerik Fiddler Web Debugger 라고 되어 있다. 1. 메뉴 Menu -> Rules -> Automatic Breakpoints -> Before Request 요청 전에 breakpoint 걸리게 설정한다. 이렇게 하면 모든 요청이 피들러에 걸린다. 단축키는 F11이고 좌측하단에 T빨간색이 표시된다. 나중에 breakpoints 취소해서 안걸리게 하려면 메뉴 Menu -> Rules -> Automatic Breakpoints -> Disabled 하면 된다. 단축키는 Shift+F11 이고 T빨간색이 없어진다. 그걸 클릭해도 된다. Capturing | All Processes |T| 이렇게 3번째 자리를 클릭해도 된다..

웹 취약점 패스워드 평문전송 - javascript - RSA 로 암호화 로그인 - (1) 번글에서 RSA 로그인의 원리를 깨달았다면 여기서는 실제로 직접 적용해본 경험담을 적어보겠습니다. 우선 RSA 에 대한 기본 개념이 있어야 하니 잘 모르신 분은 이전 글을 먼저 읽어 보는게 좋을것 같습니다. 먼저 세션에 대해 공개키, 개인키를 생성하여 세션(서버)에 저장합니다. ====== LogInRsa.java ============================= 로그인 폼(index.jsp) 로 가기 전에 먼저 호출됨. HttpServletRequest request = getRequest();HttpSession session = request.getSession(true); final int KEY_SIZ..

웹 취약점의 단골이 패스워드 평문 전송이다. 로그인시 패스워드가 평문으로 서버로 전달되면 걸린다. RSA 개념과 웹 로그인 원리등을 잘 설명한 포스팅이 있어서 공유 합니다. ====================================================== 웹 페이지에서 SSL 없이 RSA 암호화 로그인 하기 사용자의 비밀번호를 전송할 때는 SSL 등의 처리를 하지 않으면 해당 비밀번호를 중간에 가로채서 보는 것이 가능하다. 그러나 비영리 싸이트 혹은 SSL 인증서 구매가 어려운 경우에 JavaScript로 RSA 암호화를 이용해서 암호화된 로그인이 가능하다. RSA는 비대칭 방식으로 암호화는 공개키(누구나 볼 수 있다)로 하고 복호화는 개인키를 가진쪽만 가능한 형태이다. 사용자가 로그인 ..

IIS DB 연결 취약점 Global.asa 조치방법 - IIS 파일 이름 확장명 거부를 이용하면 됩니다. 제어판 > 모든 제어판 항목 > 관리도구 > IIS(인터넷 정보 서비스) 관리자 로 들어가면 트리 구조의 홈으로 들어가면 IIS 부분에 요청 필터링 이라고 있습니다. 거기서 우측에 보면 작업이라고 있고 파일 이름 확장명 허용, 파일 이름 확장명 거부가 있습니다. 또한 마우스 우클릭 해도 파일 이름 확장명 허용, 파일 이름 확장명 거부가 있으니 어느것이든 선택하면 됩니다. 파일 이름 확장명 거부를 예를들어 봅니다. 파일 이름 확장명 거부를 클릭하면 파일 이름 확장명 거부 팝업창이 뜹니다. 파일 이름 확장명 이라고 나오고 간단하게 텍스트 필드 1개가 있습니다. 여기서 확장명 거부를 원하는 확장명을 입력..

허가되지 않은 네트워크에서의 FTP 접속 차단 필요 특정 IP 주소에서만 FTP 서버에 접속하도록 접근제어 설정 참고로 윈도우서버 (Window Server) 2012 R2 환경 입니다. 제어판 > 모든 제어판 항목 > 관리도구 > IIS(인터넷 정보 서비스) 관리자 로 들어가서 해당 FTP 사이트의 첫번째 아이콘에 "FTP IP 주소 및 도메인" 이 보입니다. 이것을 더블클릭해서 들어가면 허용 항목 추가, 거부 항목 추가 가 있습니다. 이름에서 보다 시피 허용,거부 IP를 등록할 수 있습니다. 허용을 예를들어 보겠습니다. 우측 작업 부분에서 허용 항목 추가를 클릭해도 되고 마우스 우클릭해서 허용 항목 추가를 선택해도 됩니다. 허용 항목 추가를 클릭 하면 "허용 제한 규칙 추가" 팝업 창이 뜹니다. 특정..

IIS 파일 업로드 및 다운로드 제한 - IIS file upload download limit대량의 파일 업로드 및 다운로드로 인하여 서비스 불능상태가 발생할 수 있으므로 불필요한 업로드 및 다운로드의 용량을 제한하여야 함.또한, 대량의 파일 용량을 허용할 경우 웹 취약점으로 인하여 중요 정보가 대량으로 유출될 위험성이 있음. %systemroot%\system32\inetsrv\config\applicationHost.config 파일 내 아래 항목 추가 예를들어 2기가 (2Giga) 로 업로드 다운로드 제한을 걸고 싶다면