Notice
Recent Posts
Recent Comments
Link
«   2025/04   »
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30
Tags more
Archives
Today
Total
관리 메뉴

목록전체 글 (304)

의미없는 블로그

[Appscan] Content-Security-Policy

example.com/Viewer.aspx?path=");+alert(1);'>// 에서 스크립트 실행됨//");'> 여가지고 근데 이거 CSP 로 막을 수 있다고 함 Content-Security-Policy 헤더를 script-src 'self' 라고 하면현재 도메인 에서만 스크립트를 로드할 수 있음 같은 도메인에서 제공하는 .js 파일만 실행 가능함  이런거  이건 안됨이거 써야하면 Content-Security-Policy: script-src 'self' https://cdn.example.com; 이렇게 해야함 그리고   이런 구문도 차단됨이거 써야하면 Content-Security-Policy: script-src 'self' 'unsafe-inline'; 해야하는데그럼 또 xss 가능성이 ..
카테고리 없음 2025. 2. 12. 11:31
[Appscan] HTTP Strict-Transport-Security (HSTS)

HTTPS 로만 접속 시키는거 Strict-Transport-Security: max-age=31536000 ; includeSubDomains; preload응답 헤더 설정 31536000 : HSTS 응답을 받는 웹 사이트에 대해서 최초 접속 후 1년 동안 브라우저에서 강제화includeSubDomains : 하위 도메인도 포함preload : preload 옵션은 크롬 HSTS preload 리스트에 등록하는 것이므로 내부망에는 불필요 HSTS 헤더가 없어도 http > https 자동 변환 되는데 왜 HSTS 헤더를 설정해야돼?첫 번째 요청에 대한 보호: 사용자가 처음 웹사이트에 접속할 때, HTTP 요청을 보낼 수 있기 때문에 서버에서 HTTPS로 리디렉션을 설정하는 것은 안전하지 않을 수 있습..
카테고리 없음 2025. 2. 12. 11:18
[Appscan] X-Content-Type-Options: nosniff

Content-Type: application/xmlContent-Type: application/octet-streamContent-Type: text/plainContent-Type: application/javascript  .jpg 파일에 자바스크립트 담아서 업로드 하면MIME 이 image/jpeg 이지만내용이 alert(1) 니까브라우저로 실행시킬 수 있다 X-Content-Type-Options: sniff 헤더 설정하면MIME 이 image/jpeg 면 실행 안시킨다Javascript 차단 가능 res.addHeader("X-Content-Type-Options", "nosniff") X-Content-Type-Options: nosniffMIME 스니핑 방지 (잘못된 Content-Typ..
카테고리 없음 2025. 2. 12. 11:02
[CVE-2024-56337][CVE-2024-50379] Apache Tomcat RCE / TOCTOU

https://www.boannews.com/media/view.asp?idx=135380&kind=1 [긴급] 아파치 제품 3종에서 위험도 10점 만점 등 초고위험도 취약점 3개 발견아파치 소프트웨어 재단은 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트를 발표했다. 아파치 제품 3종에서 발견된 취약점은 위험도가 10점 만점에 달하는 초고위험도 취약점을 포함www.boannews.comhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-56337 CVE - CVE-2024-56337Time-of-check Time-of-use (TOCTOU) Race Condition vulnerability in Apache Tomcat. This issue af..
# 나/exploit CVE 2024. 12. 30. 11:06
전자금융거래법

전자금융거래법제1조(목적) 이 법은 전자금융거래의 법률관계를 명확히 하여 전자금융거래의 안전성과 신뢰성을 확보함과 아울러 전자금융업의 건전한 발전을 위한 기반조성을 함으로써 국민의 금융편의를 꾀하고 국민경제의 발전에 이바지함을 목적으로 한다. 제2조(정의) 이 법에서 사용하는 용어의 정의는 다음과 같다. 3. “금융회사”란 다음 각 목의 어느 하나에 해당하는 기관이나 단체 또는 사업자를 말한다.가. 「금융위원회의 설치 등에 관한 법률」 제38조제1호부터 제5호까지, 제7호 및 제8호에 해당하는 기관나. 「여신전문금융업법」에 따른 여신전문금융회사다. 「우체국예금ㆍ보험에 관한 법률」에 따른 체신관서라. 「새마을금고법」에 따른 새마을금고 및 새마을금고중앙회마. 그 밖에 법률의 규정에 따라 금융업 및 금융 관련..
# 나/electronic financial 2024. 12. 27. 14:08
구매 관련

보호되어 있는 글입니다.
# 나/electronic financial 2024. 12. 27. 13:26
지침 사규 개정 시

보호되어 있는 글입니다.
# 나/electronic financial 2024. 12. 26. 13:29
Fortify 탐지 패턴 (Path Manipulation)

Path Manipulation경로 조작 취약점 (파일 업로드/다운로드 등) 걍 new File 키워드로 파일 관련된 부분 몽땅 다 잡는다얘가 입력값으로 부터 오는건지 어디서 오는건지는 걍 다 봐야됨 Wrapper.java 에 getParameter 가 있으면 전처리 라고 생각하는지모든 케이스마다 다 붙여서 나옴  Util.jspString filenames = System.getProperty("catalina.home") + "/conf/server.xml"File serverXml = new File(filenames);... 걍 filnames 가 입력값인지 뭔지 상관없고new File 이니까 걍 잡음
# 나/source Code 2024. 12. 24. 15:16
Prev 1 2 3 4 5 ··· 38 Next