쿠키와 세션의 사용이유 Connectionless : 하나의 요청에 하나의 응답을 한 후 반드시 연결을 종료하는 것(서버의 부하를 막기 위해)→ 쿠키와 세션을 사용하면 클라이언트의 정보기록과 상태표현이 가능 Stateless : 통신이 끝난 후 상태정보를 저장하지 않는 것http 프로토콜은 Stateless, Connectionless 상태인 특징이 있기 때문에 사용자를 지속적으로 기억할 수 없다. 세션과 쿠키의 차이점 세션은 서버에 사용자의 인증되는 특정 값, 세션을 저장하는 것 또, 브라우저에는 session_id라는 토큰이 쿠키로 저장됨 쿠키는 서버에 저장되지 않고 클라이언트의 브라우저에 저장되는 값으로 인증을 하는 것 세션을 그냥 사용하지 말고 알고 사용해보자는 의미로 직접 구현해보았다. DB 연..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

일반 사이트를 만들어서 url을 조금만 조작해보았다. 이상한 폴더들 list가 나오는데 아파치 웹서버의 local 중에서도 fdv에 있던 파일들이다. 이는 파일다운로드 취약점의 원인이 되므로 이 디렉토리 리스팅 현상을 방지하는 설정이 필요하다. httpd.conf 파일에 가서 설정을 하면 된다고 하는데 /etc/httpd.conf에 접근이 되질 않았다. 찾아보니 최신 리눅스 버전은 /ect/apache2/apache2.conf를 사용한다고 한다.(삽질) 아무든 해당 설정파일을 sudo vi apache2.conf 명령어를 써서 들어가면 여러가지 설정파일 text가 쭉 뜨는데 내려보다보면 디렉터리 설정에서 /var/www이거나 /var/www/html 란이 있을 것이다. 요 설정에서 Options 옆에 있..

1.필터링 기능(sql injection같은 입력 공격들 차단) mysqli_real_escape_string($DB_CONNECT, $_POST['id']); preg_match("/^[a-zA-z]*$/", $_POST['id']) 2.sql injection 차단(2) mysqlI_multi_query() injection할 수 있는 싱글쿼터 같은 것들을 문자열 처리하여 인식한다. 3. url encode(GET method) urlencode($text) 4. injection 및 파일 다운로드 취약점 보안(1), Directory Traversal vulnerability addslashes($text):싱글쿼터, 더블쿼터, NULL, 백슬래시 등의 문자 앞에 \을 붙여 문자열 처리한다. 5. ..