목록2024/04 (20)
의미없는 블로그
보호되어 있는 글입니다.
[ASP.NET] 닷넷 전처리 IHttpModule (Reflected XSS 필터링)
닷넷에 HTTP Module 이라는 개념 있다고 함 요걸로 HTTP 요청 시작하거나 종료할때 이벤트를 처리할 수 있다고 함 그래서 이걸로 HTTP 요청에 대한 전처리 구현하나 봄 *.cs 파일에 IHttpModule 인터페이스 받아다가 쓰는 형태라고 함 *.cs Init 모듈이 초기화될 때 실행할 코드 Dispose 모듈이 해제될 때 실행할 코드 BeginRequest 요청이 시작될 때 수행할 작업 EndRequest 요청이 종료될 때 수행할 작업 그래서 IHttpModule 모듈 있는 곳에서 url 관련해서 처리 하는 부분 있나 보면 될 것 같다 *.cs HttpContext.Current.Request HttpContext.Current.Request.Url.AbsoluteUri 전체 URL 을 반환..
보호되어 있는 글입니다.
[Ubuntu] /usr/bin/python3: No module named pip
sudo apt-get install python3-pip 하고 다시하면 됨
[CVE-2024-31497] putty ssh 키 인증 취약점 (ecdsa-sha2-nistp521)
ssh 접속할때 쓰는 공개키/개인키 > ssh 서버에 공개키 등록해놓고 > 개인키로 접속하는거 공개키/개인키 생성하는 알고리즘 중에 ecdsa-sha2-nistp521 라고 있는데 공격자가 이 알고리즘으로 서명된 메시지랑 공개키를 어디서 훔쳐다가 많이 가지고 있을 경우 내 개인키를 유추할 수 있어서 내 공개키가 있는 모든 서버에 접근할 수 있다 라는데 이게 putty 버전이랑 뭔 상관이냐?? putty 가 ssh 인증할때 내 개인키를 가지고 서명을 생성하는데 그때 취약점이 발생한다고 함 아 원래 ssh 소프트웨어가 개인키로 암호 서명을 만드는거네 서버는 공개키로 서명의 진위 여부를 확인하는거고 근데 ssh 소프트웨어(putty)가 암호 서명 만들때 취약하게 만드나보네 그래서 공격자가 수십개의 암호 서명 ..
전자금융 왜 하냐 (전자금융거래법)
헌법 > 법률(전자금융거래법) > 조약 > 명령(전자금융거래법 시행령) > 행정규칙(전자금융감독규정) > 자치법규조 > 항 > 호 > 목 전자금융거래법 (제21조의 3)> 전자금융업자면 취약점 분석/평가 해야한다는 내용 전자금융거래법 시행령 (제11조의 5)> 자체전담반 구성하거나, 외부 기관에 의뢰해서 실시해야 한다> 연 1회 마다 평가해야 한다> 평가 종료 후 이행계획서를 금융위원회에 제출해야 한다 전자금융거래법 시행령 (제30조)> 금융위원회가 금감원에다가 위탁했으니 금감원에 제출하라는 근거 전자금융감독규정 (제37조의 2)> 연 1회, 홈페이지는 연 2회 실시해야 한다
보호되어 있는 글입니다.
보호되어 있는 글입니다.