XSS(Cross Site Script) 와 CSRF(Cross Site Request Forgery) 는 스크립트 태그를 이용한 대표적인 웹해킹 공격 입니다.요즘은 대부분 사이트가 방어코드가 잘 되있다고 생각 합니다.하지만 적절한 방어코드가 없다면 공격자는 손쉽게 치명적 손상을 입힐수 있는 해킹 공격 입니다. 같은 방법의 공격이지만 이 둘의 차이점은 공격대상이 클라이언트인가 서버인가에 따라서 으로 구분 합니다. "클라이언트 , 서버..??" 이렇게 말하면 잘 와닿지 않습니다. XSS 나 CSRF 에 대한 상세한 내용은 이미 인터넷에 많이 있습니다. 여기서는 전제조건이나 세부 내용은 제외하고 간단한 가상 시나리오로 차이점을 설명 하겠습니다. 1.XSS 공격자가 특정 웹사이트 게시판에 "읽기만 해도 현금 ..
문자열 제어시 포함이나, 시작, 종료 정도는 String 클래스나 StringUtils 등 유틸 클래스를 에 포함 되있는 각종 메소드를 이용해서 처리 할수 있겠지만 조건이 복잡 해지면 정규식을 사용할수 밖에 없습니다. 하지만 괜히 복잡하고 어려워 보여서 거부감이 생기지만 정규식은 잘 배워두면(하지만 잘 배워두는게 쉽지 많은 않죠 ㅠㅠ) 프로그래밍 뿐만 아니라 서버 console 에서 로그 검색(grep 이나 sed 등과 조합) 정말 여러곳에서 유용하게 사용할수 있습니다. 이하 2개의 사이트는 정규식 테스트를 해볼수 있는 유용한 사이트 입니다. 예전에 regex101.com 에서는 정규식 퀴즈도 있어서 정규식을 공부하는게 유용한 기억이 있는데 지금은 없는것 같더군요 https://regexr.com/htt..
자바개발을 하다보면 어떤 이유에서든 Out of Memory 예외를 만나는 경우가 있습니다. 하지만 사용자 코드로 임의로 발생 시키고 싶을때도 있죠.이하 JDK 1.6 기준 메모리 유형별 Out of Memory 를 발생 시키는 코드 입니다. (JVM 메모리 영역에 대한 설명은 생략) 1.PermGen123456789101112public class OomTest { public static void main(String[] args) { List nogc = new ArrayList(); while (true) { StringBuilder a = new StringBuilder(); for (int i = 0; i
첨부파일을 이용한 웹취약 공격은 지금은 웹보안 관련 검사시 단골손님이고 기본적으로 방어 해야 하는 부분입니다.보통 클라이언트 사이드에서 할수 있는건 자바스크립트를 이용한 확장자 검색정도가 전부 입니다.그렇기 때문에 파일 확장자를 임의로 rename 한다면 통과 쉽게 통과 시킬수 있습니다. 서버사이드에서도 기본적으로 할수 있는건 파일 확장자 검사 정도가 전부 이지만 서버에서는 파일 바이너리를 분석해서 추가적인 정보를 얻을수 있습니다.하지만 구현을 직접 한다면 . . . _ _); 다행히도 아파치 Tika 라는 오픈소스 라이브러리가 존재 합니다. 사용 방법은 아주 심플 합니다. 예를들어 index.jsp 라는 파일을 index.ppt 변경하고 c: 드라이브 위치 시켜놓고 테스트를 해보면1234Tika tik..
- Total
- Today
- Yesterday