유진 블로그

owasp zap설정하기     : 웹 애플리케이션에서 클릭재킹(clickjacking) 공격을 방지하기 위한 HTTP 응답 헤더가 설정되지 않았다는 것을 의미   header("X-Frame-Options: DENY"); 이 설정은 브라우저가 현재 페이지를 iframe 내에 표시하지 못하도록 하여 클릭재킹 공격을 방지합니다.       : 웹 애플리케이션에서 내부 오류 정보를 사용자에게 그대로 노출하는 것을 의미    -> 사용자에게는 간단한 메시지를 제공하고, 상세한 오류 정보는 숨기는 사용자 정의 오류 페이지를 생성 -> 오류 메시지를 숨기고, 로그 파일에 기록하며, 사용자 정의 오류 페이지를 사용    : 웹 애플리케이션이 CSRF(Cross-Site Request Forgery) 공격에 취약  ..

규칙 활성화> 1.   URL Rewrite 모듈 설치:  *   IIS URL Rewrite 모듈 다운로드  URL Rewrite Module 2.1 : https://www.iis.net/downloads/microsoft/url-rewrite - 다음의 화면에서 Korean: x86 installer / x64 installer 중 x64 installer를 다운받습니다.         설치가 완성되면 다음과 같이 IIS ‘기능 보기’에서 설치된 내용을 확인할 수 있습니다.  정상적으로 설치된 모습입니다.   1. HTTP를 HTTPS로 리디렉션 하기 위해 :  URL Rewirte를 사용하면, URL에 쿼리 매개변수를 포함하지 않고도 깔끔한 구조로 변경하여 검색 엔진에서의 가독성을 높일 수 있다...

1)디렉토리 검색기능 배제 2)파일업로드 기능 시 다른 폴더에 접근하지 못하도록 다른 폴더들에 대한 권한을 설정 3)HTTP헤더값 요청 시 서버측 세팅: 메소드들 중 TRACE, put, delete 요청을 받지 않도록 설정   1. Windows Server 2022의 IIS에서 TRACE, PUT, DELETE 메소드 비활성화  IIS관리자 > 요청 필터링 > 동사거부 추가     >  TRACE, PUT, DELETE를 각각 추가   PUT, DELETE : 임의로 서버 내 파일 생성 또는 삭제할 수 있는 메소드 -> 인가되지 않은 사용자로 인해 서버가 조작될 위험 존재 TRACE: 클라이언트가 서버로 전송한 요청을 다시 그대로 반환해주는 메소드 -> 쿠키 및 세션 값이 그대로 반환되어 XST(Cr..

OWASP ZAP 이 프록시 서버 형태로 취약점을 진단하는 과정 1. 프록시 설정 : 사용자는 브라우저나 애플리케이션의 네트워크 설정에서 프록시 서버로 OWASP ZAP을 지정 2. 트래픽 가로채기 및 분석 :  사용자가 웹 애플리케이션과 상호작용하는 동안 ZAP은 모든 요청과 응답을 가로채고 이를 분석 3. 수동 공격 및 자동화된 스캔 : 가로챈 요청 및 응답을 바탕으로 SQL 인젝션, XSS, CSRF 등 다양한 취약점을 분석 -> 웹 애플리케이션의 클라이언트-서버 간 상호작용을 정확하게 모니터링하고 분석할 수 있다.  탐지 가능한 취약점 1. SQL 인젝션 (SQL Injection) 웹 애플리케이션에서 입력값을 제대로 검증하지 않아 데이터베이스 쿼리에 악의적인 SQL 구문이 포함될 수 있는 취약점..

(보안취약_보안강화 게시판)게시판 소스 리스트:1)   dbconn.php     :데이터베이스 연결2)   register.php    : 회원가입3)   login.php       : 로그인 화면4)   logout.php     :로그 아웃5)   notice_list.php   :게시판 리스트6)   notice_add_page.php   : 게시판 글 추가하는 화면7)   notice_add.php     : 게시판 글 추가하는 부분을 데이터베이스에 저장8)   notice_edit_page.php  : 게시판 글 수정9)   notice_edit.php   : 게시판 글 수정을 데이터베이스에 반영10)   delete.php  : 게시글 삭제  1)   dbconn2.php     :데이터베..