https://www.kisa.or.kr/2060204/form?postSeq=14&page=1 KISA 한국인터넷진흥원 www.kisa.or.kr

웹 상에서 가장 기초적인 취약점 공격 방법의 일종으로, 공격하려는 사이트에 스크립트를 넣는 기법을 말한다. 공격에 성공하면 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되며, 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등의 민감한 정보를 탈취한다. 조치가이드 외부 입력값 또는 출력값에 스크립트가 삽입되지 못하도록 문자열을 치환한다. 아래는 XSS 공경에서 자주 사용되는 HTML 특수문자이다. HTML 특수문자 HTML Entity HTML 특수문자 HTML Entity > & & " " ' ' OWASP XSS 공격방지 7개명 허용된 위치가 아닌 곳에 신뢰할 수 없는 데이터가 들어가는것을 허용하지 않는다. 신뢰할수 없는 데이터는 검증해라. HTML 속성에 신뢰할수 없는 데이터가 들어갈..

다운로드 대상 파일의 디렉토리를 벗어나 다른경로에 있는 파일까지 접근해 파일을 다운로드하거나 접근 가능한 것. 조치가이드 파일 다운로드시 허용된 경로 이외의 접근을 차단하고 특정 디렉토리의 파일만 다운로드가 가능하도록 설정 파일 경로 및 파일명을 데이터베이스에 저장하여 파일 다운로드 수행시, 파일 경로와 이름을 검증하도록 조치 다운로드 시 사용자 요청 메시지에 포함된 경로 조작 문자(.., /, \) 필터링 조치 - Path Traversal 문자열 체크 @ 서버단에서 상위 디렉토리로 이동하는 ../ 또는 ..\\ 문자열 존재여부를 확인한다. // Java String strFullPath = request.getParameter("filePath") + request.getParameter("fileN..

AndroidManifest.xml 파일의 application 태그에 아래 usesCleartextTraffic 속성을 추가해 모든 HTTP 접근에 대해 허용하도록 한다. 아래 예제처럼 HTTPS주소로 정상적으로 호출하였으나 실행시 Cleartext HTTP traffic 오류가 발생함. Document doc = Jsoup.connect("https://naver.ccom").get(); 트래픽을 확인한 결과 네이버에서 www가 붙지 않은 주소로 접근하면 HTTP 로 리다이렉트 하고 HTTP사이트에서 HTTPS로 리다이렉트함. HTTPS로 접속했으면 HTTPS로 리다이렉트 하는게 맞는데 네이버에서 로직을 잘못 개발한듯 함. 정상적으로 HTTPS가 포함된 주소를 넣었음에도 위 오류가 발생한다면 맘 편하..

지역시간에 맞게 시간값 입력 INSERT_DATE DATETIME DEFAULT (datetime('now', 'localtime')) 국제 표준시간값 입력 INSERT_DATE DATETIME DEFAULT CURRENT_TIMESTAMP INSERT_DATE DATETIME DEFAULT datetime('now')

멀티라인 커서 상단위치 android:gravity="top" 코드 추가