본문 바로가기

프로그래밍/보안2

자바(java) 보안(SECURE) 코딩 2. 크로스 사이트 스크립트 서론 크로스 사이트 스크립트 (Cross-site Scripting)는 script 코드를 내용 등에 추가하여 해당 웹페이지를 열었을 때 해당 코드가 실행되게 하여 공격하는 기법이다. 본문의 내용에 자바스크립트 코드 등을 넣어서 접속자의 정보를 유출하는 등의 방법으로 사용될 수 있다. 1. 공격자가 웹서버에 악성 스크립트가 포함된 내용을 저장함 2. 사용자가 트정 게시물을 여는 등의 웹서버에서 행위를 발생 3. 공격자가 해당 게시물에 심어놓은 코드가 실행되어 의도치 않은 작동를 하게 된다 안전한 코딩 기법 1. 사용자가 문자열에 스크립트를 삽입하여 실행하는 것을 막기 위해 , & 등을 replace 문자 변환 함수나 메서드를 사용하여 &rlt, &rgt, &ramp, "로 치환 2. HTML 태그를 허용.. 2019. 7. 1.
자바(java) 보안(SECURE) 코딩 1. SQL, 자원(Resource) 삽입(Injection) 대학교 때 코딩을 할 때와는 다르게 지금은 코딩을 하면서 이게 보안에 적합한가? 라는 생각을 많이 하게 되었다. 그래서 한국인터넷진흥원에서 발행한 보안 코딩가이드를 보면서 회사에서 진행했던 프로젝트와 비교해보았다. 생각보다 안지켜지던 점이 많았다. 앞으로 내가 코딩할때는 위 원칙들은 반드시 지켜야 겠다라고 생각하며 내용을 정리해 본다. 1. SQL 삽입 - DB와 연동된 웹 어플리케이션에서 공격자가 입력 폼 및 URL 입력란에 SQL문 자체를 입력하여 DB로 부터 저옵를 열람하거나 조작할 수 있는 보안약점이다. public void weakCode(String name) { String tableName = "weakCodeTable"; String query = "SELECT * " + "FROM "+.. 2019. 6. 19.