의미없는 블로그

Cache-Control: no-store캐시 금지모든 요청마다 항상 원본 서버에서 데이터를 가져오도록 Pragma: no-cacheHTTP/1.0 에서 쓰는것HTTP/1.1 은 Cache-Control: no-store 로 내부망 서비스는 우리만 접속하니까Pragma: no-cache 안해도 되자나 apache (httpd.conf or .htaccess) Header set Cache-Control "no-store, no-cache, must-revalidate" Header set Pragma "no-cache" Header set Expires 0 Java (Spring boot)import org.springframework.web.bind.annotation.*;import ..

불필요한 헤더 제거X-Powered-By: Servlet/3.0 해당 서버가 Java Servlet 3.0을 사용하고 있다는 의미 Java Servlet API 3.0 버전Java EE 6 (J2EE) 기반비동기 서블릿 지원 (AsyncContext)파일 업로드 API 개선웹 애플리케이션이 더 유연한 방식으로 동작 가능이 서버는 Java Servlet 3.0을 지원하는 Java 기반 웹 애플리케이션 서버(Tomcat, JBoss, WebSphere 등)에서 실행 중일 가능성이 높습니다. 공격자가 X-Powered-By: Servlet/3.0 헤더를 통해 웹 애플리케이션 서버의 버전을 유추할 수 있음.예: Apache Tomcat 7.x (Servlet 3.0 지원) 사용 가능성특정 버전에서 알려진 보안 ..

internal.example.com 과 admin.example.com 이 쿠키를 공유할 필요가 없다면 SameSite=Strict 쿠키가 동일한 사이트(도메인)에서 발생한 요청에서만 전송됨다른 도메인 링크 클릭, 리다이렉션 등에는 전송되지 않음example.com/dashboard > example.com/profile 이동 시 쿠키 유지됨other-site.com > 링크 클릭 > example.com 이동 시 쿠키 전송 X SameSite=Laxexample.com/dashboard > example.com/profile 이동 시 쿠키 유지됨other-site.com > 링크 클릭 > example.com 이동 시 쿠키 전송됨 other-site.com 에서 POST form 으로 example...

Content-Security-Policy 헤더 설정 CSP(Content Security Policy) 헤더를 사용하여 웹 페이지가 로드할 수 있는 외부 리소스의 출처를 제한하거나 허용할 수 있다는 것입니다.  Content-Security-Policy: default-src 'self'; defaul-src 'self'현재 사이트에서만 리소스를 로드외부 사이트에서 가져온 스크립트, 스타일, 이미지 등은 차단CDN, API, 외부 스크립트 등이 작동하지 않을 수 있음폰트도 차단될 수 있음 해결 방법Content-Security-Policy: default-src 'self'; script-src 'self' https://cdnjs.cloudflare.com; style-src 'se..

HTTPS 로만 접속 시키는거 Strict-Transport-Security: max-age=31536000 ; includeSubDomains; preload응답 헤더 설정 31536000 : HSTS 응답을 받는 웹 사이트에 대해서 최초 접속 후 1년 동안 브라우저에서 강제화includeSubDomains : 하위 도메인도 포함preload : preload 옵션은 크롬 HSTS preload 리스트에 등록하는 것이므로 내부망에는 불필요 HSTS 헤더가 없어도 http > https 자동 변환 되는데 왜 HSTS 헤더를 설정해야돼?첫 번째 요청에 대한 보호: 사용자가 처음 웹사이트에 접속할 때, HTTP 요청을 보낼 수 있기 때문에 서버에서 HTTPS로 리디렉션을 설정하는 것은 안전하지 않을 수 있습..

Content-Type: application/xmlContent-Type: application/octet-streamContent-Type: text/plainContent-Type: application/javascript  .jpg 파일에 자바스크립트 담아서 업로드 하면MIME 이 image/jpeg 이지만내용이 alert(1) 니까브라우저로 실행시킬 수 있다 X-Content-Type-Options: sniff 헤더 설정하면MIME 이 image/jpeg 면 실행 안시킨다Javascript 차단 가능 res.addHeader("X-Content-Type-Options", "nosniff") https://webhack.dynu.net/?idx=20161120.001

https://www.boannews.com/media/view.asp?idx=135380&kind=1 [긴급] 아파치 제품 3종에서 위험도 10점 만점 등 초고위험도 취약점 3개 발견아파치 소프트웨어 재단은 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트를 발표했다. 아파치 제품 3종에서 발견된 취약점은 위험도가 10점 만점에 달하는 초고위험도 취약점을 포함www.boannews.comhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-56337 CVE - CVE-2024-56337Time-of-check Time-of-use (TOCTOU) Race Condition vulnerability in Apache Tomcat. This issue af..

전자금융거래법제1조(목적) 이 법은 전자금융거래의 법률관계를 명확히 하여 전자금융거래의 안전성과 신뢰성을 확보함과 아울러 전자금융업의 건전한 발전을 위한 기반조성을 함으로써 국민의 금융편의를 꾀하고 국민경제의 발전에 이바지함을 목적으로 한다. 제2조(정의) 이 법에서 사용하는 용어의 정의는 다음과 같다. 3. “금융회사”란 다음 각 목의 어느 하나에 해당하는 기관이나 단체 또는 사업자를 말한다.가. 「금융위원회의 설치 등에 관한 법률」 제38조제1호부터 제5호까지, 제7호 및 제8호에 해당하는 기관나. 「여신전문금융업법」에 따른 여신전문금융회사다. 「우체국예금ㆍ보험에 관한 법률」에 따른 체신관서라. 「새마을금고법」에 따른 새마을금고 및 새마을금고중앙회마. 그 밖에 법률의 규정에 따라 금융업 및 금융 관련..