2024.03.20

cgi-bin

CGI(Common Gateway Interface)웹 서버가 외부 프로그램을 실행하여 동적인 웹 콘텐츠를 생성하게 해주는 표준이다.ex) 사용자가 웹 페이지에서 폼을 제출을 하면 -> 서버가 CGI 스크립트를 실행하여 정보를 처리 -> 브라우저로 결과를 전송한다. cgi-bin 디렉토리CGI 프로그램을 저장하고 실행하는 디렉토리웹 서버는 이 풀더 안에 있는 스크립트를 정적 파일처럼 보내지 않고 실행한다. 디렉터리 내 .cgi 또는 .php 로 저장한다. 아래 사이트 보면 이해가 잘 됨 PHP-CGI Argument Injection 취약점 (CVE-2024-4577) :: 꼰머의 보안공부 PHP-CGI Argument Injection 취약점 (CVE-2024-4577)1. PHP-CGI (Common..

HTTP의 상태 코드는 client가 보낸 http 요청이 성공했는지 실패했는지를 서버에서 알려주는 코드이다. 3자리 숫자로 이루어져 있고, 100번대 ~ 500번대 까지 존재한다.첫 번째 자리에 따라 나뉘어 진다.1xx (정보) : 요청을 받고 처리 중임을 알린다.2xx (성공) : 요청이 정상적으로 처리됨3xx (리다이렉션) : 요청한 리소스가 다른 위치로 이동했다.4xx (클라이언트 오류) : 잘못된 요청 이다. 즉 클라이언트 쪽 문제이다.5xx (서버 오류) 요청은 맞는데 서버가 처리하지 못한다. 대표적인 코드2xx : 성공200 OK -> 성공 응답 (요청이 정상적으로 처리가 되었다.)201 Created -> POST 요청으로 새로운 리소스 생성 성공204 No Content -> 성공했지만 ..

DVWAhttps://en.wikipedia.org/wiki/Damn_Vulnerable_Web_ApplicationDamn Vulnerable Web Application은 보안 취약점을 의도적으로 포함 하고 교육 목적으로 의도된 소프트웨어 프로젝트이다. 환경설정sudo apt install apache2 php php-mysqli php-gd mariadb-server git unzipcd /var/www/htmlsudo git clone https://github.com/digininja/DVWA.gitwww-data:www-data는 apache 웹 서버 또는 nginx 웹 서버가 사용하는 기본 사용자와 그룹을 의미합니다. 이를 통해서 웹 서버가 파일 및 디렉토리에 접근하고 작업을 수행할 수 있습..

안녕하세요. 오늘은 간단하게 웹 서버를 구축을 해보고, 서버 보안 설정을 하는 방법에 대해 알아보겠습니다. apache2 란?아파치 HTTP 서버는 아파치 소프트웨어 제단에서 관리하는 오픈 소스, 크로스 플랫폼 HTTP 웹 서버 소프트웨어입니다.https://ko.wikipedia.org/wiki/%EC%95%84%ED%8C%8C%EC%B9%98_HTTP_%EC%84%9C%EB%B2%84 아파치 HTTP 서버 - 위키백과, 우리 모두의 백과사전위키백과, 우리 모두의 백과사전. 아파치 HTTP 서버(영어: Apache HTTP Server)는 아파치 소프트웨어 재단에서 관리하는 오픈 소스, 크로스 플랫폼 HTTP 웹 서버 소프트웨어다. BSD, 리눅스 등 유닉스 계열ko.wikipedia.org 아파치 웹..

Burp Suite?burp suite는 웹 애플리케이션의 보안 평가 및 침투 테스트를 위한 독점 소프트웨어 도구이다. 웹 크롤링 프록시(Burp Proxy) , HTTP 요청/응답 기록, 동작 중인 HTTP 요청 캡처/차단(Burp Intercept) 취약점을 나타내는 보고서 집계 기능이 있다. 알려진 안전하지 않은 구문 패턴과 키워드가 포함된 내장 데이터베이스를 사용하여 캡처된 HTTP 요청/응답 내에서 검색합니다. https://en.wikipedia.org/wiki/Burp_Suite Burp Suite - WikipediaFrom Wikipedia, the free encyclopedia Web security software Burp Suite is a proprietary software t..

HTTP 프로토콜의 특징Connectionless : 하나의 요청에 하나의 응답을 한 후 연결을 종료하는 것을 의미함Stateless : 통신이 끝난 후 상태 정보를 저장하지 않는 것을 의미함 이러한 특성을 갖는 HTTP에서 상태를 유지하기 위해 쿠키(Cookie)가 탄생했습니다. 쿠키는 Key와 Value로 이뤄진 일종의 단위로, 서버가 클라이언트에게 쿠키를 발급하면, 클라이언트는 서버에 요청을 보낼 때마다 쿠키를 같이 전송함쿠키의 용도일반적으로 쿠키는 클라이언트의 정보 기록과 상태 정보를 표현하는 용도로 사용한다. 악의적인 클라이언트는 쿠키 정보를 변조해 서버에 요청을 보낼 수 있다. 웹 통신에서도 클라이언트가 쿠키를 변조해 서버에 요청을 보낼  수 있다. 따라서, 쿠키에 인증 상태를 저장하지만 클라..