Code Art Online

잘못된 보안 설정➡️ 디렉터리 인덱싱, 정보 누출, 관리자 페이지 노출, 위치 공개, 웹 서비스 메소드 설정 공격➡️ 환경 설정 파일에 있는 보안 관련 항목의 값을 수정, 불필요하게 존재하는 파일의 삭제, 접근 가능한 IP만 허용하게 하는 접근 제어 등을 통해 조치 1) 디렉터리 인덱싱 취약점✅ 디렉터리 내의 파일 정보들이 노출된다.웹 루트 디렉터리에 기본적으로 호출할 파일(Default.html, index.thml 등)이 없을 경우, 디렉터리 내의 파일 리스트를 웹 브라우저에 표시한다.🔍 디렉터리 인덱싱 취약점을 확인하는 방법웹 페이지 요청 시 도메인명 하위의 파일명과 변수명, 변수값을 확인하고 디렉터리 이름만 입력(끝에 '/'까지 입력)하거나 URL뒤에 %3f.jsp, %23.jsp를 입력한다.e..

01장. 입력 값 조작 공격입력 값 조작 공격은 개발 단계에서부터 서버 측에서 입력 값을 검증하여 예방하는 방법이 가장 효과적이다.   1.1 운영체제 명령 실행대부분의 공격은 URI의 변수 값에 시스템 명령을 삽입해 Request 패킷을 조작함으로써 이루어진다. (ex. http://도메인명/download.jsp?filename=;/bin/ls -al)따라서 운영체제 명령 실행 공격의 대상이 되는 취약한 함수들은 가급적 사용하지 않는 것이 좋다.예를 들어, Java(Servlets, JSP)의 경우 System.* (특히 System.Runtime)이 공격당하기 쉽다.변수 입력 값에 대해 입력 가능한 문자열을 지정한 후, 지정한 문자열 이외의 나머지 문자열에 대해서는 필터링을 수행하면 된다.(명령어 ..

🔻 Spring Security docs  게시글 목차  더보기1. [Spring Security] docs : Getting Started [Spring Security] docs : Getting StartedSpring Security는 인증, 권한부여 및 일반적인 공격에 대한 보호를 제공하는 프레임워크이다. 개발자가 보안 설정에 추가적으로 신경쓰지 않더라도 안전한 애플리케이션을 빠르게 구축할 수 있도kiritoni.tistory.com 2. [Spring Security] docs : Architecture (1) - Filter [Spring Security] docs : Architecture (1) - FilterSpring Security docs Hello Spring Security ..

🔻 Spring Security docs  게시글 목차  더보기1. [Spring Security] docs : Getting Started [Spring Security] docs : Getting StartedSpring Security는 인증, 권한부여 및 일반적인 공격에 대한 보호를 제공하는 프레임워크이다. 개발자가 보안 설정에 추가적으로 신경쓰지 않더라도 안전한 애플리케이션을 빠르게 구축할 수 있도kiritoni.tistory.com   2. [Spring Security] docs : Architecture (1) - Filter [Spring Security] docs : Architecture (1) - FilterSpring Security docs Hello Spring Securit..

🔻 Spring Security docs  게시글 목차  더보기1. [Spring Security] docs : Getting Started [Spring Security] docs : Getting StartedSpring Security는 인증, 권한부여 및 일반적인 공격에 대한 보호를 제공하는 프레임워크이다. 개발자가 보안 설정에 추가적으로 신경쓰지 않더라도 안전한 애플리케이션을 빠르게 구축할 수 있도kiritoni.tistory.com  2. [Spring Security] docs : Architecture (1) - Filter [Spring Security] docs : Architecture (1) - FilterSpring Security docs Hello Spring Security..

🔻 Spring Security docs  게시글 목차  더보기1. [Spring Security] docs : Getting Started [Spring Security] docs : Getting StartedSpring Security는 인증, 권한부여 및 일반적인 공격에 대한 보호를 제공하는 프레임워크이다. 개발자가 보안 설정에 추가적으로 신경쓰지 않더라도 안전한 애플리케이션을 빠르게 구축할 수 있도kiritoni.tistory.com 2. [Spring Security] docs : Architecture (1) - Filter [Spring Security] docs : Architecture (1) - FilterSpring Security docs Hello Spring Security ..

🔻 Spring Security docs  게시글 목차  더보기1. [Spring Security] docs : Getting Started [Spring Security] docs : Getting StartedSpring Security는 인증, 권한부여 및 일반적인 공격에 대한 보호를 제공하는 프레임워크이다. 개발자가 보안 설정에 추가적으로 신경쓰지 않더라도 안전한 애플리케이션을 빠르게 구축할 수 있도kiritoni.tistory.com  2. [Spring Security] docs : Architecture (1) - Filter [Spring Security] docs : Architecture (1) - FilterSpring Security docs Hello Spring Security..

🔻 Spring Security docs  게시글 목차  더보기1. [Spring Security] docs : Getting Started [Spring Security] docs : Getting StartedSpring Security는 인증, 권한부여 및 일반적인 공격에 대한 보호를 제공하는 프레임워크이다. 개발자가 보안 설정에 추가적으로 신경쓰지 않더라도 안전한 애플리케이션을 빠르게 구축할 수 있도kiritoni.tistory.com  2. [Spring Security] docs : Architecture (1) - Filter [Spring Security] docs : Architecture (1) - FilterSpring Security docs Hello Spring Security..

Spring Security는 인증, 권한부여 및 일반적인 공격에 대한 보호를 제공하는 프레임워크이다. 개발자가 보안 설정에 추가적으로 신경쓰지 않더라도 안전한 애플리케이션을 빠르게 구축할 수 있도록 돕는다!  Spring Security docs  Hello Spring Security :: Spring SecurityRunning Spring Boot Application $ ./mvnw spring-boot:run ... INFO 23689 --- [ restartedMain] .s.s.UserDetailsServiceAutoConfiguration : Using generated security password: 8e557245-73e2-4286-969a-ff57fe326336 ... $ ./gr..