- Apache에서 보안 헤더 설정 방법아래는 Apache 설정 파일 또는 .htaccess 파일에 추가할 수 있는 설정이다. # HttpOnly 및 Secure 속성 추가 Header always edit Set-Cookie ^(.*)$ "$1; HttpOnly; Secure" # Content-Security-Policy 헤더 설정 Header set Content-Security-Policy "default-src 'self'; script-src 'self';" # X-Content-Type-Options 헤더 설정 Header set X-Content-Type-Options "nosniff" # X-Frame-Options 헤더 설정 Header set..

- 세션 만료 시간을 설정하기 1. web.xml 파일에서 세션 타임아웃 설정 각 웹 애플리케이션의 WEB-INF 폴더에 있는 web.xml 파일에서 세션 타임아웃 시간을 설정할 수 있다.만약 일반 사용자 페이지와 관리자 페이지가 별도의 웹 애플리케이션으로 구분되어 있다면 각각의 web.xml 파일에 이 설정을 추가하면 된다. 30 2. 코드에서 동적으로 세션 타임아웃 설정 세션 타임아웃을 동적으로 설정해야 하는 경우, JSP, 서블릿 또는 필터에서 세션을 생성할 때 다음과 같이 설정할 수 있다. 이 방법을 사용하면 특정 조건에 따라 다른 세션 타임아웃을 설정할 수 있다. HttpSession session = request.getSession();session.setMaxInactiveIn..

- 분산 서비스 거부 공격 DDoS(Distributed Denial of Service)이 공격은 DoS처럼 인터넷 트래픽의 폭주로 공격 대상이 정상적으로 네트워크가 작동하지 않게 한다. 그러나, DDoS는 1대 1로 싸우는 것이 아닌 1대 다수로 싸우게 된다.갑자기 이슈가 되어 접속자가 많아진 웹사이트와 DDoS 공격을 받고 있는 웹사이트를 구별하는 것은 어렵다. 숙련된 DDoS 공격은 알려진 해결책으로도 방어가 매우 어렵다. 뚜렷한 해결책이 없어서 DDoS는 방어라는 표현보다는 완화라는 표현을 사용할 정도이다.일반적인 경우는 공격자가 다수의 보안이 약한 일반 사용자를 먼저 공격한다.(＝좀비PC 생성) 그리고 그들의 컴퓨터에서 원격으로 진짜 목표에 트래픽을 보낸다. 이로 인해 진짜 공격 대상은 너무..

- 서비스 거부 공격 DoS(Denial-of-Service)1. DoS란?공격자가 시스템의 자원을 모두 소진시켜서 다른 사람이 서비스를 받지 못하게 방해하는 공격이다. 과부하 걸리게 하는 공격이기에 많은 종류가 있고, 자주 발생하며 보통 테러의 성격을 가지고 있다.2. 취약점 공격 DOS일반적으로 데이터는 네트워크로 한 번에 보내지 않는다. 한 번에 전송될 수 있는 데이터는 기본적으로 1500byte 정도이다. 그 이상의 데이터를 보낼 때에는 데이터가 여러 번 전송되는 것이다.이때 데이터의 순서가 뒤바뀌어서 목적지에 도착할 수 있으니, 데이터(패킷)을 보낼 때, 앞에 순서를 붙인다. 이때 공격자는 데이터를 조작하여 순서가 불완전하도록 한다. 공격자는 이렇게 데이터 순서가 중복되거나, 순서 사이에 빈 것..

- 포트는 왜 중요할까? 포트는 네트워크 통신에서 특정 프로세스나 서비스가 통신을 위해 사용하는 출입구이다. 포트는 서로 다른 프로세스 간의 효율적인 통신을 가능하게 하며, 서비스의 접근성과 상호작용에 중요한 역할을 한다. 포트를 적절하게 관리하고 보호하지 않으면 다음과 같은 문제가 발생할 수 있다. 보안 위험: 개방된 포트는 악의적인 공격자에게 시스템에 대한 직접적인 접근을 허용할 수 있다. 서비스 가용성: 올바른 포트 관리가 없으면 서비스에 접근하기 어려워질 수 있으며, 이는 사용자들에게 불편을 초래할 수 있다. 네트워크 성능: 포트 충돌이나 부정적인 활동으로 인해 네트워크 성능이 저하될 수 있다. 좀비PC나 브루트포스로 포트를 찾을 수 있지 않을까? 정답은 YES. 좀비 PC나 브루트포스 공격은 포..