준준의 기록일지

출처 : https://ifuwanna.tistory.com/258 [Git] 소스트리 Access denied 오류 해결 소스트리(Sourcetree)를 이용하여 GitLab,GitHub 등의 저장소에서 Clone 받아 놓은 원격 레파지토리(remote Repository)에 PULL / PUSH 등으로 접근할때 아래와 같이 권한 오류로 실패하는 경우가 있습니다. remo.. ifuwanna.tistory.com

고객사 포털 구축 작업 중 로그인 관련 수정 요청을 팀에서 받았다. 로그인 / 로그아웃 시 JSESSIONID 파기 ,발급 시점 조정에 관한 부분으로 관련 요청 사항을 봤을때 부끄럽게도 JSESSIONID가 뭔지 몰랐다.. 세션인가??근데 J는 뭐지? (검색해도 나오지는 않는듯..) 요청사항 - 로그인 성공 직후에 기존 세션 파기 , 새 세션 발급 - 로그아웃 직후에 기존 세션 파기, 새 세션 발급 이에 작업된 내역을 확인해보니, 1 2 3 4 5 6 7 if(session != null) { session.invalidate(); session = request.getSession(true); session.setAttribute("account", account); } Colored by Color ..

찾게된 이유 회사 솔루션 vPortal에서 고객사 사이트 별로 계약된 기능이 전부 상이하다. 그래서 관리포털의 경우 관리자 메뉴를 계약 사항에 맞는 기능만 넣어주는데, 현재 관리 포털에 취약한 부분을 발견했다. 각 관리자 메뉴 사용 여부에 따라 on/off 기능이 있는데 해당 정보는 func_name, on/off 컬럼으로 DB 테이블에 저장된다. 여기서 문제는 관리자 메뉴를 front쪽 메뉴 목록만 지웠다는 것! 허가된 관리자 메뉴가 아닐 경우 url로 접근해도 허용이 안되야 하는데, 떡하니 해당 페이지로 넘어간다. 이에 허용되지 않은 페이지를 어떻게 차단할것인가에 대해 고민하면서 front쪽인 extjs부터 jsp, 스프링 설정까지, 무엇을 변경해야되나 고민하고 있었다. 회의 중 팀 내 수석님이 그런..

XSS (Cross Site Scripting) XSS는 웹 어플리케이션에 악의적으로 스크립트를 삽입해 공격하는 기법을 말한다. 만약 웹 어플리케이션에서 데이터를 서버로 저장할때 데이터를 검증하지 않거나 XSS에 대한 방어 대비가 없다면 스크립트가 포함된 데이터가 저장되어 유저로 하여금 원치 않는 스크립트를 실행시킬 수 있다. Lucy-xss-servlet-filter 웹 어플리케이션으로 들어오는 모든 요청 파라미터에 대해 기본적인 XSS 방어 필터링을 수행한다. 출처 : https://shxrecord.tistory.com/212 [Secure]Lucy-xss-filter-servlet 적용하기 웹 개발을 할 때 보안은 중요한 요소입니다. 오늘 포스팅할 내용은 웹 취약점 공격 방법의 일종 중 하나인 X..