용테크

프로젝트 보안점검중 크로스 사이트 스크립팅과 관련하여 클라이언트의 요청을 우회할수 있는 툴인 Burp Suite를 사용해 보았다. 이 툴을 이용하게 되면 javascript를 이용한 validation체크를 우회할 수 있다. 이 말은 웹 사이트의 보안을 유지하려면 client단에서의 javascript 유효성 체크뿐만 아니라 서버단에서의 유효성 체크도 해야 한다는 것이다. 이 툴을 사용하니 내가 작성한 소스가 단번에 해킹 당하는걸 보았다.. server단에도 secure coding이 필수적이다. Burp Suite의 동작 원리는 간단하다. 1. local PC 웹 브라우저에서 naver.com HTTP request 2. proxy server(Burp Suite) 3. 네이버 사이트 접속 4. 네이버..

사이트 간 스크립팅(또는 크로스 사이트 스크립팅, 영문 명칭 cross-site scripting, 영문 약어 XSS)은 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다. 주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어진다. 이 취약점은 웹 애플리케이션이 사용자로부터 입력받은 값을 제대로 검사하지 않고 사용할 경우 나타난다. 이 취약점으로 해커가 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 할 수 있다. 주로 다른 웹사이트와 정보를 교환하는 식으로 작동하므로 사이트 간 스크립팅이라고 한다. 출처 : 위키백과 https://ko.wikipe..

필터는 서블릿 실행 전, 후에 어떤 작업을 하고자 할때 사용한다. 예를 들어 클라이언트가 보낸 데이터의 암호를 해제한다거나, 서블릿이 실행되기 전에 필요한 자원을 미리 준비하거나, 서블릿이 실행될 때마다 로그를 남긴다거나 하는 작업을 필터를 통해 처리할 수 있다. Servlet Filter 구현 Servlet Filter 인터페이스는 3개의 메소드로 구현된다. 1. init init() 메소드는 필터 객체가 생성되고 준비 작업을 위해 딱 한번 호출된다. 서블릿의 init()과 같은 용도이다. 이 메소드의 매개변수는 FilterConfig의 인스턴스이다. 이 인스턴스를 통해 필터 초기화 매개변수의 값을 꺼낼수 있다. 아래 코드에서는 doFilter()에서 사용하기 위해 인스턴스 변수 config에 저장한다..