웹 서버로 들어오고 나가는 POST/PUT/GET 데이터의 내용을 검사하기 위해 apache2의 로깅 모듈이나 추가 기능을 사용한 기억이 납니다.
당시 찍은 스크린샷에 따르면 로그는 다음과 같습니다.
--80852032-A--
[09/Apr/2018:16:04:31 --0700] Wsvxf6wQyCwAAAajw9gAAAAD 10.6.30.254 11378 10.6.30.44 433
--80852032-B--
POST / HTTP/1.1
Host: 172.18.64.136
Accept: */*
testheader: testvalue
Content-Length: 8
Content-Type: application/x-www-form-urlencoded
--80852032-C--
testbody
--80852032-F--
HTTP/1.1 200 OK
Upgrade: h2,h2c
Connection: Upgrade
Last-Modified: Fri, 22 Mar 2013 17:15:18 GMT
ETag: "10d-4d88699718396"
Accept-Ranges: bytes
Content-Length: 269
Vary: Accept-Encoding
Content-Type: text/html
--80852032-E--
<html><body><h1>It works!</h1>
<p>Server pc44</p>
<p>eth0: 10.6.30.44/24
eth1: 172.16.200.44/24 2001:172:16:200::44/64<p>
<p>Service:
http 80 8080 443 8443
ftp 21 2121
smtp 25 8025 465 8465
pop3 110 8110 995 8995
imap 143 8143 933 8993
samba</p>
답변1
당신이 우리에게 보여주고 있는 것은 Modsecurity가 생성한 로그입니다. 다음과 같은 세그먼트 메시지를 기반으로 ModSecurity임을 알 수 있습니다.
--6b253045-A--
...
--6b253045-B--
...
--6b253045-C--
...
--6b253045-F--
...
--6b253045-E--
...
--6b253045-H--
...
--6b253045-Z--
Modsecurity는 Apache 위에 있는 레이어 7 방화벽/필터이며 WAF(웹 애플리케이션 방화벽)라는 보안 애플리케이션 클래스에 속합니다.
libapache2-mod-security해당 패키지는 Debian 및 그 파생물(Ubuntu 포함)에서 호출됩니다.
패키지: libapache2-mod-security2
외부 리소스:
Homepage [www.modsecurity.org]Apache 웹 애플리케이션의 보안 강화
Modsecurity는 웹 애플리케이션의 보안을 강화하는 것이 목적인 Apache 모듈입니다. 실제로 이는 웹 서버를 위한 침입 탐지 및 방지 시스템입니다.
현재 주요 기능은 다음과 같습니다.
감사 로그는 POST 페이로드를 포함한 전체 요청 세부정보를 별도의 파일에 저장합니다.
요청 필터링은 들어오는 요청과 공격적인 요청을 분석할 수 있습니다.
거부될 수 있습니다(원하는 경우 간단히 기록할 수도 있습니다). 이 기능을 사용하면 다양한 유형의 공격(예: XSS 공격, SQL 주입 등)을 방지할 수 있으며 서버에서 안전하지 않은 애플리케이션을 실행할 수도 있습니다(물론 다른 선택의 여지가 없는 경우).
설치하려면 다음을 실행해야 합니다.
sudo apt install libapache2-mod-security