요즘은 DDOS공격같은 방법보다는 웹쉘이나 XSS삽입공격등으로 사이트를 위협하고 있습니다.
특히 XSS관련 공격은 가장 빈번한 방법으로
대부분의 사이트들의 인증은 쿠키(세션)를 통한 방식으로 하기때문에 "쿠키 하이제킹 방지" 코드만
넣어도 어느정도 방어가 됩니다.
거의 모든 브라우져에서 지원되므로, 아래와 같은 방식으로 코드를 넣으면 도움이 됩니다.
PHP 5.x 이상
SetCookie("auth_xxx",$user,0,"/",".makeshop.co.kr",false, true);
PHP 4.x
SetCookie("auth_xxx",$user,0,"/",".makeshop.co.kr; httponly");
세션을 사용예) ( php5.2 이상)
php.ini 에서
session.cookie_httponly = true;
설정후 php 재가동
서버에서 보내는 쿠키 헤더값은 아래와 같네요.
HTTP/1.1 200 OK
Server: nginx
Date: Tue, 07 Apr 2015 05:06:07 GMT
Content-Type: text/html
Connection: keep-alive
Set-Cookie: test=123; path=/; domain=test.co.kr; httponly
브라우져를 재가동후 사이트접속(로그인)후
주소창에
javascript:document.cookie
입력하여 확인해보면, 설정한 쿠키(세션) 이 보이지 않은것을 확인할 수 있습니다. :)
비타트라닷컴 (vitatra.com) 에서 비타민을 오랫만에 다시 샀네요..
70불이상 배송비 무료라..
합계 90.12불 나왔네요.ㅎㅎㅎ
사진순서대로...
밀크시슬(밀크티슬) - 간 보호
비타민D - 뼈건강~~
오가닉샴푸 - 천연 오가닉.. 바이오틴 샴푸.... 탈모방지. 머리카락 두꺼워지는...
치솔 - 1불씩 팔길래..ㅎㅎ
Items Ordered
| Item | Price | Quantity | Shopping Weight |
Item Total |
|---|---|---|---|---|
| Natrol AcaiBerry Extra Strength 1200 mg (60 Vcaps) | $9.09 | 2 | 0.40lbs | $18.18 |
| Solgar Vitamin D3 (Cholecalciferol) 1000 IU (250 Softgels) | $10.29 | 2 | 2.40lbs | $20.58 |
| Avalon Organics Biotin B-Complex Thickening Shampoo (14 oz) | $7.99 | 2 | 2.40lbs | $15.98 |
| Solgar Milk Thistle (100 Vcaps) | $16.69 | 2 | 2.40lbs | $33.38 |
| Marvel Heroes Toothbrush (Soft, colors may vary) | $1.00 | 2 | 0.60lbs | $2.00 |
아파치도 비슷하지만, NGINX에서 PHP프레임웍을 사용하려면,
보통 아래와 같이 기술하게 된다.
rewrite ^/(.*)$ /index.php?/$1 last;
}
# 파일이 존재하지 않으면, 프레임웍의 index.php 로 rewrite
이런경우 없는 이미지파일 호출이나 css, js 파일을 호출하더라도.
파일이 없는경우 무조건 index.php 로 가게 되니 서버의 부담이 많아진다. (악의적인호출포함?)
아래와 같이 수정
set $framework 'NO';
if (!-e $request_filename) {
set $framework 'OK';
}
if ($uri ~ '(\.css|\.js|\.ico|\.gif|\.jpg|\.png|\.swf)')
set $framework 'NO';
}
if ($framework = 'OK') {
rewrite ^/(.*)$ /index.php?/$1 last;
break;
}
위와 같이 하여 확장자가 이미지파일이거나 css/js 등일 경우 파일이 존재하지 않으면, 프레임웍을 안타게 설정한다.
확장자는 알아서 추가..ㅎㅎ
php-fpm 실행시 unknown entry 'security.limit_extensions' error
pph-fpm을 로컬에서 실행할때와 달리 다른서버의 php-fpm을 실행할때 'security.limit_extensions' 를
기술해주어야한다. (was서버처럼 분산처리할때)
Starting php-fpm server...
[08-Apr-2014 19:14:46] ERROR: [/usr/local/etc/php-fpm.conf:17] unknown entry 'security.limit_extensions'
[08-Apr-2014 19:14:46] ERROR: failed to load configuration file '/usr/local/etc/php-fpm.conf'
[08-Apr-2014 19:14:46] ERROR: FPM initialization failed
php-fpm.conf 에
security.limit_extensions 를 아무데나 기술하면 위와 같이 에러가 나므로
반드시 [www] 탭 하단에 기술해주어야한다.
[www]
security.limit_extensions = .php .php3
모니위키(moniwiki) 를 사용하시는분이 요즘 있을까 하지만,
자료찾기가 좀 쉽지 않아서 정리해봅니다.
http://wiki.test.com/wiki.php/xxxxxxxxxxx
이런식의 URL방식을 사용하기 때문에
모니위키를 nginx 에서 사용하시려면, 아래와 같이 추가하셔야하시면 됩니다
참고하세요~ ㅎㅎ
try_files $uri $uri/ /wiki.php;
location ~ \.php($|/) {
include fastcgi_params;
fastcgi_pass unix:/var/run/fastcgi.socket;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_split_path_info ^((?U).+\.php)(/?.+)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_param PATH_TRANSLATED $document_root$fastcgi_path_info;
fastcgi_param HOST testserver
fastcgi_read_timeout 120;
..
..
}
