분류 전체보기(344)
-
XSS(Cross Site Scripting)
웹 상에서 가장 기초적인 취약점 공격 방법의 일종으로, 공격하려는 사이트에 스크립트를 넣는 기법을 말한다. 공격에 성공하면 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되며, 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등의 민감한 정보를 탈취한다. 조치가이드 외부 입력값 또는 출력값에 스크립트가 삽입되지 못하도록 문자열을 치환한다. 아래는 XSS 공경에서 자주 사용되는 HTML 특수문자이다. HTML 특수문자 HTML Entity HTML 특수문자 HTML Entity > & & " " ' ' OWASP XSS 공격방지 7개명 허용된 위치가 아닌 곳에 신뢰할 수 없는 데이터가 들어가는것을 허용하지 않는다. 신뢰할수 없는 데이터는 검증해라. HTML 속성에 신뢰할수 없는 데이터가 들어갈..
2023.05.31 -
파일다운로드 취약점 - Path Traversal
다운로드 대상 파일의 디렉토리를 벗어나 다른경로에 있는 파일까지 접근해 파일을 다운로드하거나 접근 가능한 것. 조치가이드 파일 다운로드시 허용된 경로 이외의 접근을 차단하고 특정 디렉토리의 파일만 다운로드가 가능하도록 설정 파일 경로 및 파일명을 데이터베이스에 저장하여 파일 다운로드 수행시, 파일 경로와 이름을 검증하도록 조치 다운로드 시 사용자 요청 메시지에 포함된 경로 조작 문자(.., /, \) 필터링 조치 - Path Traversal 문자열 체크 @ 서버단에서 상위 디렉토리로 이동하는 ../ 또는 ..\\ 문자열 존재여부를 확인한다. // Java String strFullPath = request.getParameter("filePath") + request.getParameter("fileN..
2023.05.31 -
Cleartext HTTP traffic to www.domain.com not permitted
AndroidManifest.xml 파일의 application 태그에 아래 usesCleartextTraffic 속성을 추가해 모든 HTTP 접근에 대해 허용하도록 한다. 아래 예제처럼 HTTPS주소로 정상적으로 호출하였으나 실행시 Cleartext HTTP traffic 오류가 발생함. Document doc = Jsoup.connect("https://naver.ccom").get(); 트래픽을 확인한 결과 네이버에서 www가 붙지 않은 주소로 접근하면 HTTP 로 리다이렉트 하고 HTTP사이트에서 HTTPS로 리다이렉트함. HTTPS로 접속했으면 HTTPS로 리다이렉트 하는게 맞는데 네이버에서 로직을 잘못 개발한듯 함. 정상적으로 HTTPS가 포함된 주소를 넣었음에도 위 오류가 발생한다면 맘 편하..
2023.05.23 -
[걷기] 안산 자락길
서울, 서대문구, 7km 무장애숲길, 메타세쿼이아 코스 지도 https://map.naver.com/v5/entry/place/36804699?lng=126.94649620640696&lat=37.57458366197201&placePath=%2Fhome&entry=plt&c=15.01,0,0,0,dh 네이버 지도 공간을 검색합니다. 생활을 연결합니다. 장소, 버스, 지하철, 도로 등 모든 공간의 정보를 하나의 검색으로 연결한 새로운 지도를 만나보세요. map.naver.com
2023.05.22 -
[SQLite] CREATE TABLE - DEFAULT
지역시간에 맞게 시간값 입력 INSERT_DATE DATETIME DEFAULT (datetime('now', 'localtime')) 국제 표준시간값 입력 INSERT_DATE DATETIME DEFAULT CURRENT_TIMESTAMP INSERT_DATE DATETIME DEFAULT datetime('now')
2023.05.18 -
[Control] EditText
멀티라인 커서 상단위치 android:gravity="top" 코드 추가
2023.05.15