코더에서 개발자로 가는길.

오늘 이야기하려고 하는 것은 인증서 이야기이다. SSL(Securty Socket Layer) 유지보수 입장에서는 사실 고객사에서 인증서를 받고 그것을 해당 was에 알맞게 적용시키면 끝이다.! 내가 사용하는 고객사 납품 솔류션은 스프링부트를 사용해서. jks가 필요한데.. 고객사에서 준 인증서는 keystore였다. 열심히 구글링해서 keystore 역변환해서 jks로 변경하는 방법을 찾았는데.. 결국에는 그냥 "cp .keystore .jks" 로 복사만 하면 끝인 작업이었다. 적용 뒤에 웹 사이트에서 확인 하거나 "keytool -list -keystore 인증서파일명. jks -v"로 하면 된다. 현장은 항상 다른것 같다.

2021 OWASP Top 10 참고 사이트 : https://owasp.org/Top10/ A01:2021-Broken Access Control (손상된 액세스 제어) 액세스 제어는 사용자가 의도한 권한을 벗어나 행동할 수 없도록 정책을 시행 CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-23 Relative Path Traversal CWE-35 Path Traversal: '.../...//' CWE-59 Improper Link Resolution Before File Access ('Link Following') CWE-200 Exposure of Sensitive Informat..

개발을 하면서 우연히 아래와 같은 오류메시지를 만나게 되었다. [오류 메시지] ERROR org.apache.catalina.core.ContainerBase.[Tomcat].[localhost].[/].[dispatcherServlet] - Servlet.service() for servlet [dispatcherServlet] in context with path [] threw exception org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentially malicious String ";" at org.springframe..

개발자로써 어떻게 하면 시큐어 코딩을 잘 할 수 있을까?라는 고민은 다들 한번쯤 할 수가 있는데 현재(2018-01-13)기준으로는 기본적으로 아래와 같은 사항에 대해서 고민을 해야 한다.또한, 그에 따라서 웹개발자라면 FindSecurityBugs, OWASP ZAP툴에 대해서 한번쯤은 고민해야 한다고 생각한다.조금 더 자세한 내용으로 블로그를 작성하면 좋겠지만 우선은 시큐어 코딩에 대해서 여기서부터가 시작이라고 생각한다. - OWASP TOP 10(2017) (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#Translation_Efforts_2)1. 인젝션2. 취약한 인증3. 민감한 데이터 노출4. XML 외부 개체(XXE)5. 취약한..

CISSP는 https://www.isc2.org/에 가보면 정보 보안 업계에서 국제적으로 가장 널리 인정되는 자격증입니다. CISSP는 조직의 전반적인 보안 상태를 효과적으로 설계, 운영 및 관리하기 위해 요구되는 정보 보안 전문가의 심도 있는 기술 및 관리 지식과 경험을 검증합니다. 라고 나와 있습니다. 시험범위는 아래와 같습니다. * 보안 및 위험 관리 * 자산 보안 * 보안 아키텍처 및 엔지니어링 * 통신 및 네트워크 보안 * 신원 및 접근 관리 (IAM) * 보안 평가 및 테스트 * 보안 운영 * 소프트웨어 개발 보안 경력 요구사항은 지원자는 CISSP CBK의 8개 도메인 중 2개 이상에서 최소 5년간 누적된 직업 경력이 있어야합니다. 4년제 대학 학위 또는 지역별 동등 학위를 취득하였거나, ..

만약 위의 단어 때문에 저의 블로그에 왔다면..가슴이 아주 아픕니다.그런 이유는 아마도 당신 사용하는 톰캣 버전이 낮아서 올 가능성이 높기 때문입니다. 위의 보안 취약점을 해결 하려고 한다면 크게 두 가지 방법이 있습니다.1. server.xml파일에서 URIEncoding을 utf-8를 사용하지 않는다.2. 톰캣 버전을 5.5.27 이상으로 업데이트한다. 하지만.. 2018년도 새롭게 도입된 프로젝트라면 그 누구도 톰캣 버전을 5.0 대를 쓰지 않을 것이고 또한 자바의 jdk1.4때를 쓰지 않겠죠. 그러면 어떻게 해야 위의 보안 취약점을 해결할 수 있을까요? 제일 먼저, 더 이상 당신의 솔류션이 기반이 너무 옛날이기 때문에 위의 보안 취약점을 해결할 수 없다고 최대한 해당 사이트 담당자를 설득 시켜야 ..

금일은 OWASP ZAP 설치 및 시작법에 대해서 이야기 하려고 합니다.기본적으로 OWASP ZAP은 OWASP이 만들고 과학기술사이버안전센터에서 “공개도구를 이용한 홈페이지 취약점 점검 안내서”에서 추천하고 있습니다. 거기다가 계속되는 Upadte, 무료, Proxy기능을 제공, 동적 SSL지원 등 기능이 많고 단점은 상용화 도구와 비교 할때 성능적인 부분과 안정도의 차이가 있습니다. 제가 실제로 사용해 본 결과 짧게 테스트 해도 기본정책으로 30분 길게는 1시간 넘게 걸리가다 프로그램 멈추기도 했습니다.OWASP ZAP 웹 취약점 점검 기준은 아래와 같습니다.[information Gathering]* Backup File Disclosure* Cookie Slack Detector* Director..

오늘은 랜섬웨어에 대해서 이야기를 하려고 합니다. 랜섬웨어는 쉽게 이야기를 하면 메일이나 잘못된 사이트에서 첨부파일등 기타 파일을 받을때 바이러스가 컴퓨터내에 문서나 사진 등을 제멋대로 암호화 하고 나중에 돈을 보내주면 풀어준다고 하는 말도 안되는 해킹입니다.(옛날에는 돈을 보내주면 양심적으로 풀어 주었다고 하는데 요즘에는 그런것도 없다고 합니다.ㅜ.ㅜ) 일단 걸리게 되면 아무리 뛰어난 백신 또는 개발자도 풀기가 어렵고요 해결책도 거의 없습니다 . 하드 포맷이 답이지요..ㅜ.ㅜ불행중 다행인 점은 일부 해커들을 잡아서 잡힌 해커가 만든 램섬웨어에 대해서는 백신을 만든다고 합니다. 아래에 같이 안랩에서 랜섬웨어 복구 툴이나 하우리에서 예방 툴/복구 툴을 배포 하고 있지만 최상의 방법은 예방하는 것입니다. 사..

tomcat5 server.xml에 database 연결정보를 적어 놓는데 서버가 해킹으로 뚫릴 경우보안에 취약하게 된다. 해결 방안은 인터넷에서 찾아본 결과 아래의 3가지 경우를 찾았다.[dhcp]로 해결하거나http://gt1000.tistory.com/289[spring] 같은 경우에는http://www.jlancer.net/board/article_view.jsp?article_no=1375&board_no=8[톰캣 버전]을 높여서http://linux.systemv.pe.kr/tomcat-manager-%EC%95%94%ED%98%B8%ED%99%94-%ED%8C%A8%EC%8A%A4%EC%9B%8C%EB%93%9C-%EC%84%A4%EC%A0%95/ 필자의 경우에는 tomcat를 높여서도 안되..

살다 살다 이런저런 보안에 고민하게 된다.hashdos 공격에 대해서 아래의 사이트에서 잘 정리되었고http://knight76.tistory.com/entry/hash-dos-%EA%B3%B5%EA%B2%A9-with-Tomcat 내가 파악하기에는 결국에는 톰캣 버전을 올리고maxParameterCount, maxPostSize 사이즈를 잘 조정하라는 이야기이다.톰캣 버전