본문 바로가기

스프링4

XSS(Cross-Site Scripting) 인젝션 취약점 공격 스프링 패치 방법 - Naver Lucy XSS(Cross-Site Scripting) 인젝션 공격은 블라인드 SQL 인젝션과 동일하게 보안등급 상 매운 높은 심각도로 분류된다. 따라서 웹 서비스를 운영할 떄 이 점을 고려해야하는데 소스단계에서 처리하기가 매우 골치 아프다. 이를 소스로 처리하기에는 방패와 같아서 매일 다르게 새로운 공격방법이 나와 보안이 뚫리기 일쑤다. 그래서 대부분의 기업은 위험한 문자 인젝션에서 사용 가능한 솔루션을 검토하여 도입하기도 한다. 이 XSS 인젝션 공격의 원인은 "사용자 입력 파라미터 값에서 문자를 올바르게 필터링하지 못함"으로 볼 수 있다. 따라서 파라미터에 합법적인 사용자로 위장하는 데 사용될 수 있는 고객 세션 및 쿠키를 빼내거나 조작하는 것이 가능하여 해커가 사용자 레코드를 보거나 변경할 수 있으며 해당.. 2023. 10. 13.
[스프링]파일 다운로드 기능 개발할 때 한글이 안되는 경우 스프링에서는 인코딩이 참 고역이다.. 뷰어단의 인코딩, DB 인코딩, 서버단 인코딩들 고려할 것이 참 많은 것 같다. 이번은 내가 개발하다가 한글로 고생해서 나중에 해당 이슈 발생하면 사용하려고 기록을 남겨놓는다. String fileName = "생성할 파일 제목"; String encodeName = "utf-8"; response.setHeader("Content-Disposition", "attachment; filename=" + URLEncoder.encode(fileName, "encodeName")); 인코딩 몇은 대부분 utf-8이나 euc-kr 을 많이 사용할 것이다. 본인의 환경에 맞게 적절하게 넣어주면 된다. 2022. 1. 13.
[스프링] PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException 오류 이슈 대응 크롬 엔진을 사용하는 환경에서 현재 도메인에서 다른 도메인으로 이동하거나 데이터를 송수신 할 때 이동하는 URL이 부모 URL과 상이하여 하기와 같은 오류 팝업 메시지를 보게 된다. PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException 이 오류 메시지의 원인은 SSL 인증서 적용이 안되었거나, 코딩에 SSL 송수신 루틴을 추가해주지 않아서 그런다. 추가 방법은 앞서 썼던 글을 가면 자세히 볼 수 있다. 이동하기 ☞https://baekyle.tistory.com/5 [스프링] SSL API 통신 시 SSLHandshakeException & CrossDomain ERROR 오류에 대한 대응을 위한 코딩방법.. 2022. 1. 12.
[스프링] Byte 데이터를 뷰에 이미지로 보여주기 스프링을 작업하면 DB에서 읽어온 데이터를 웹페이지에 뿌려줘야할 일이 자주 생긴다. 디비에서 읽어온 byte[] (byte array) 데이터를 뿌려주는 방법을 소개한다. //JAVA byte[] imgByte = "DB에서 읽어온 Byte Array 데이터" byte[] byteEnc64 = Base64.encodeBase64(imgByte); String imgStr = new String(byteEnc64 , "UTF-8"); // 뿌려주는 방식은 다양하게 mav.addObject("imgStr", imgStr); 인코딩 방식은 기본으로 UTF-8로 적시하였지만, 한국 IT환경에서 euc-kr 환경도 많으니 적소적시 환경에 따라 입력하면 된다. JSP //VIEW //하기와 같이 태그를 작성한다 스.. 2021. 12. 19.