Webhaking/ModSecurity를 활용한 웹 애플리케이션 방어 레시피8 [Modsecurity] ModSecurity 다운로드 및 환경설정 [ Modsecurity 설치 ] SEEDUbuntu 환경이다. root 계정으로 변경한 후, apt-get install libapache2-modsecurity -y 명령어를 이용하여 modsecurity를 다운받는다. 설치 확인을 하는 방법 중 하나이다. apachectl -M을 이용해 로드된 모듈 목록 중 security가 들어가는 모듈이 있는지 확인한다. 아해와 같이 security2_module (shared)이 뜨면 설치가 제대로 된 것이다. [ Modsecurity 설정 및 룰셋 설정 ] 설치를 끝내고 이제 설정을 시작한다. 제일 먼저, /etc/modsecurity 경로의 파일을 modsecurity.conf 파일로 복사한다. cp /etc/modsecurity/modsecurity.co.. 2021. 1. 16. [웹 방어 레시피] 1부, 전투 공간 준비 "우리의 웹 사이트는 안전한가?" 라는 질문에 대해 몇 가지 응답 예시를 열거하고 각각의 문제점을 강조한다. Q1. 지불 카드 산업 데이터 보안 표준(PCI DSS, Payment Card industry Data Security Standard)을 준수하므로 우리의 웹 어플리케이션은 안전하다. A1. PCI DSS는 다른 대부분의 규정과 같이 준수해야 할 최소한의 규정이다. 이 말은 규정을 준수하는 것이 우리의 웹 사이트를 해킹의 위험에서 벗어나게 해준다는 의미가 아니다. PCI DSS는 위험 완화보다 위험전가(신용카드 회사로부터 상인)에 대한 내용이다. Q2. PCI를 통과했기 때문에 안전하다고 말하기는 어렵지만, 안전하다면 PCI 검사를 통과하기가 훨씬 쉽다. A2. 더욱 일반적인 의미로 규정은 제.. 2021. 1. 15. 이전 1 2 다음
