좀 만 더..

LDAP Injection LDAP Injeciton은 LDAP(Lightweight Directory Access Protocol)에 대한 Injection 공격으로 사용자의 입력값이 LDAP Query에 직접 영향을 끼칠 수 있을 때 이를 통해 비정상적인 LDAP 동작을 유도하는 공격 방법이다. 보통의 Injection 취약점과 비슷하게 전반적인 공격 매커니즘은 SQL Injection 등 대다수 Injection 방식과 동일하다. LDAP Injection을 보기 전에 먼저 LDAP에 대해서 알아보자. 디렉토리 서비스 분산 환경에 있는 다중 시스템 및 서비스에 대한 자원 정보 저장소 해당 자원에 대한 클라이언트 및 서버 액세스를 제공 LDAP 네트워크상에서 조직이나 개인, 파일, 디바이스 등을 찾아..

const express = require('express'); const fs = require('fs'); const options = { key: fs.readFileSync('./rootca.key'), cert: fs.readFileSync('./rootca.crt') }; const app = express(); // Default route for server status app.get('/', (req, res) => { res.json({ message: `Server is running on port ${req.secure ? HTTPS_PORT : HTTP_PORT}` }); }); // Create an HTTP server. http.createServer(app).listen(H..

MEDIA WIKI? 미디어 위키를 알기 전에 혹시 위키백과를 알고 계신가요? 위키백과는 인터넷을 통해 백과사전을 만드는 걸 목표로 하는 프로젝트로 세계 최대 규모인 위키위키입니다. 위키백과에서 사용한 엔진이 바로 미디어위키입니다. 이 위키미디어 재단에서 개발, 배포하는 세계적인 설치형 위키 프로그램으로 PHP 기반 오픈소스 위키 엔진입니다. 이걸 왜 사용했는가? 19년도 쯤에 만들어 사용하고 있던 동아리 전용 위키 사이트가 있었다. 해당 사이트는 미디어위키를 이용해 만들어졌다. 해당 서버를 VM을 통해 작동하고 있었고 명색의 보안 동아리지만 메인 사이트를 HTTP를 사용하고 있었고 SSL을 적용하여 HTTPS로 전환하고자 하였다. 동아리 도메인의 하위 도메인으로서 wiki도 같이 적용하고자 하였다. 하..

HTTP 프로토콜은 “connectionless”, “stateless” 특성을 가지고 있다. 이를 보완하기 위해서 쿠키와 세션을 사용한다. connectionless 클라이언트가 요청을 한 후 응답을 받으면 그 연결을 끊어 버리는 특징 HTTP는 먼저 클라이언트가 request를 서버에 보내면, 서버는 클라이언트에게 요청에 맞는 response를 보내고 접속을 끊는 특성이 있다. stateless 통신이 끝나면 상태를 유지하지 않는 특징 연결을 끊는 순간 클라이언트와 서버의 통신이 끝나며 상태 정보는 유지하지 않는 특성이 있다. Cookies 쿠키는 클라이언트(브라우저) 로컬에 저장되는 키와 값이 들어있는 작은 데이터 파일 사용자 인증이 유효한 시간을 명시할 수 있으며, 유효 시간이 정해지면 브라우저가..