FTP는 1971년 처음 제안된 프로토콜로 데이터 전송 시 암호화를 제공하지 않는 “평문 기반 프로토콜”로 명령어 포트 (21번)를 통해 전송되는 제어 정보는 모두 암호화되지 않은 텍스트 형태로 오고간다. Kaist FTP Server, 리눅스 ISO 이미지 파일 배포 등 누구에게나 공개된 오픈소스 소프트웨어 혹은 학술자료나, 암호화 연산 자체가 필요없는 초 경량형 임베디드, IoT장비와 같은 경우에는 FTP Protocol을 사용해도 상관없으나, 보안이 필요한 운영서버에서는 절대 사용해서는 안되는 프로토콜이다. Cmd에 ftp protocol을 사용해 kaist ftp에 접속한 뒤, id : anonymous, pw : 1234를 입력한뒤, 와이어샤크에서 ftp 패킷을 캡처해 보았다. 다음 실험 결과와..

Nginxcurl -I https://... 현재 운영중인 사이트로 요청을 보내보니 아래와 같이 http 응답 헤더에 버전 정보를 자동으로 노출한다. 기존에는 버전 노출이 일반적이었으나 최근에는 nginx 버전을 숨기는 것을 권장한다. HTTP/2 403 server: nginx/1.29.5 방법은 간단한데 nginx.conf 설정 파일에 server_tokens 값을 off로 설정해주면 된다. (default: on) HTTP/2 403 server: nginx