티스토리 뷰
<웹보안 위험요소>
1. SQL 인젝션
Local Proxy 에 의해 값이 위조될 수 있다.
2. Cross site script
-> 크로스사이트필터를 반드시 적용해야한다 XSSFilter
public String htmlEncode(String data){
return data.replaceAll("<", "<").replaceAll(">", ">");
}
@RequestMapping(value="/test/xss_test.do", method = RequestMethod.POST)
@ResponseBody
public String testXss(HttpServletRequest request) {
StringBuffer buffer=new StringBuffer();
String data=request.getParameter("data");
buffer.append(htmlEncode(data));
return buffer.toString();
}
3. 파일 업로드
-> 파일 사이즈 체크 필수! -> 그렇지 않으면 DDOS 공격대상이 될수 있다
-> file type 체크 필수!
- 파일명 : a.jpg, Content-Type
-> Magic Code(Mime Type)
-> 외부에서 직접 접근 가능한 경로의 파일 Upload는 최악이다.
-> Cat.jpg(로컬) ->Cat.jpg(웹서버) 파일명은 업로드시 변경하는 것이 좋다
-> 실행권한을 주면 안된다!
4. CSRF
-> 이전페이지 체크, Referer[헤더정보]:list.do
-> CSRF 토큰을 랜덤하게 발급하여 사용(기본)
-> 추가인증
5. 인증/인가
'IT' 카테고리의 다른 글
[IIS] NAS 콘텐츠 가상디렉토리 HTTP 오류 500.19 권한이 충분하지 않아 구성 파일을 읽을 수 없습니다. (0) | 2015.08.24 |
---|---|
[WCF] 웹서비스 들어오는 메시지의 최대 메시지 크기 할당량(65536)을 초과했습니다, The maximum message size quota for incoming messages (65536) has been exceeded (0) | 2015.08.18 |
PCR, DTS, PTS (MPEG 시간정보) (0) | 2015.04.23 |
FFMPEG 옵션 Option (0) | 2015.04.14 |
[FFMPEG] 옵션 OPTION (0) | 2015.04.13 |
- Total
- Today
- Yesterday
- 마르크스
- 샵n
- 김도향
- 임신
- 태교
- 우리 결혼했어요
- 태아는 천재다
- 자본론
- 가상디렉토리
- 내 이름은 김삼순
- 최진기의 인문학특강
- 마음으로 만나는 태교
- 마당을 나온 암탉
- YouTube
- iis
- 채널
- 무한도전
- 태명
- 음악중심
- 김인성
- 스세딕
- 네이버
- 임승수
- MBC
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |