XSS 웹방화벽 우회 방화벽에 막힌 것들Right-Click Here Right-Click Here Right-Click Here Right-Click HereRight-Click Here

출처: http://visu4l.tistory.com/419 Tomcat 혹은 그외에 웹서버에 SSL을 적용시키기 전에 개발자들이 테스트용으로 사용하는 Trial SSL에 대해 설명한다. 1. 테스트 인증서 생성 명령어 : keytool -genkey -keyalg rsa -alias [Alias_Name] -keystore [KeyStore_File_Name] keytool 명령은 java jdk 디렉토리 하위 bin 디렉토리에 있다. path가 지정되어있지 않으면 해당 디렉토리로 이동후 실행하거나 절대경로로 실행해주어야 한다.저는 path가 지정되어 있어 keytool 명령어로 실행한다. 인증서 생성시 물어보는 질문들은 다음과 같다. > 키저장소 비밀번호 입력> 새 비밀번호 다시 입력:> 이름과 성을..

출처:https://geekflare.com/apache-tomcat-hardening-and-security-guide/ Apache Tomcat Hardening and Security Guide Tomcat is one of the most popular Servlet and JSP Container servers. It’s used by some of following high traffic websites:LinkedIn.comDailymail.co.ukComcast.netWallmart.comReuters.comMeetup.comWebs.comBelow diagram shows the market position of Tomcat in terms of popularity and traffic ..

출처:http://lureout.tistory.com/60https://brunch.co.kr/@leesmain/8https://brunch.co.kr/@leesmain/9 ali의 sqlmap을 사용해보자 (취약점 있는 사이트 주소) (sql injection (blind) 메뉴에서 submit을 한번 이라도 눌러야지 id= 이라는 url이 추가 된다) 그리고 DVWA를 이용하기 위해 admin / password 로 로그인 했기 때문에 로그인 없이 접근을 못한다 그렇기 때문에 sqlmap을 사용할때 쿠키값을 같이 써줘야한다 나는 chrome의 앱중 Edit ThisCooke라는 것을 사용하지만 쿠키값을 볼 수 있는 방법은 여러가지다 Kali로 와서 sqlmap -h 와 sqlmap -hh (자세한 도..

출처: http://20140501.tistory.com/63 TABLE_A =========== COLUMN_1 =========== 1 2 3 TABLE_B =========== COLUMN_1 =========== 2 3 4 UNION UNION ALL SQL: SELECT COLUMN_1 FROM TABLE_A UNION SELECT COLUMN_1 FROM TABLE_B 결과 : COLUMN_1 1 2 3 4 SQL: SELECT COLUMN_1 FROM TABLE_A UNION ALL SELECT COLUMN_1 FROM TABLE_B 결과 : COLUMN_1 1 2 3 2 3 4 ★UNION -두 테이블의 결합을 나타내며, 결합시키는 두 테이블의 중복되지 않는 값들을 반환한다. -중복을 제거..

출처: http://syaku.tistory.com/278 개발환경Mac OS X 10.9.4 JAVA 1.6 Apache Tomcat 7.x Spring 3.1.1 Spring Tool Suite 3.5.1 Maven 2.5.1스프링 시큐리티(Spring Security)는 스프링 서브 프로젝트 중 하나로 스프링 기반의 어플리케이션을 보호하기 위한 필수적인 프레임워크이다. 스프링을 사용하면서 자체적으로 세션을 이용한 인증방식을 구현한다면 바보같은 짓일 것이다. 스프링 시큐리티는 보안을 체계적으로 관리하며 개발한 스프링 어플리케이션들과 유연하게 연결된다. 그리고 오랜기간 다양한 피드백으로 개발되어 신뢰도가 높을 것이다. 스프링에 최적화된 스프링 시큐리티 보다 안정적인 프레임워크는 아마 없을 것이다. 무엇..

출처: http://springmvc.egloos.com/516241 로그아웃 커스터마이징 이제 로그아웃 페이지를 커스터마이징 해볼까 합니다. 만약 로그아웃 주소를 커스터마이징 하지 않는다면 기본적으로 "/j_spring_security_logout"이란 URL을 통해 사용자의 권한을 해제하는 작업을 시작할 수 있습니다. 그러나 이런 눈에 뻔히 보이는 URL을 이용하면 악의적인 공격자가 해당 어플리케이션의 보안이 스프링 시큐리티로 이루어진 것을 알아채고 쉽게 보안취약점을 찾아낼 지도 모릅니다. 에 다음과 같은 요소를 추가함으로서 손쉽게 로그아웃 경로를 커스터마이징 할 수 있습니다. invaldate-session : 세션을 모두 무효로 할 것인지를 사용자에게 묻습니다. logout-url : 로그아웃 경..

출처: http://springmvc.egloos.com/504862 드디어 대망의 스프링 시큐리티입니다! 이것이 정녕 막판 보스는 아니지만 현재까지의 개발환경에서 스프링 시큐리티만 어느 정도 가닥이 잡힌다면 웹서비스 제작에 필요한 대부분의 요소는 자리를 잡게 되는 셈입니다. 게다가 스프링 시큐리티는 매우 지능적이며 대부분 간단한 선언만으로 작동하므로 대량의 코드를 손쉽게 절약해줍니다. 그러므로 스프링 시큐리티를 이용하는 것만으로도 고철자물쇠에서 최첨단 10 중 보안장치를 설치하는 것과 동일한 효과를 얻을 수 있겠다 말하겠습니다.스프링 시큐리티는 강력하면서도 쉽습니다. 게다가 단 몇십줄의 코드만으로도 대형 웹서비스사와 비슷한 수준의 보안을 유지할 수 있다는 장점이 있습니다. 물론 진짜로 비슷한 수준을 유..

출처: http://lng1982.tistory.com/138 개인 프로젝트인 스프링 3.1 기반의 웹 애플리케이션에 시큐리티를 추가해 보기로 했다.최종 구현 목표는 DB로 인증 및 URL 관리를 하는 것이며 일단 단계적으로 시큐리티가 어떤 기능을 지원하는지를 알아가기 위해서 오늘은 프로퍼티를 이용한 인증 및 권한 부여 방법에 대해서 설명하려고 한다. 먼저 스프링 시큐리티를 적용하기 위해서는 pom.xml에 라이브러리를 추가한다. org.springframework.security spring-security-core ${spring.security.version} org.springframework.security spring-security-config ${spring.security.version}..

출처: http://blessldk.blogspot.kr/2015/01/spring-framework-dao.html DTO 와 DAO DAO(Data Access Object)는 DB를 사용해 데이터를 조화하거나 조작하는 기능을 전담하도록 만든 오브젝트를 말한다. 사용자는 자신이 필요한 Interface를 DAO에게 던지고 DAO는 이 인터페이스를 구현한 객체를 사용자에게 편리하게 사용 할 수 있도록 반환해줍니다. DB에 대한 접근을 DAO가 담당하도록 하여 데이터베이스 엑세스를 DAO에서만 하게 되면 다수의 원격호출을 통한 오버헤드를 VO나 DTO를 통해 줄일 수 있고 다수의 DB 호출문제를 해결할 수 있습니다. 또한 단순히 읽기만 하는 연산이므로 트랜잭션 간의 오버헤드를 감소할 수 있습니다. DTO..