목록# 나/pentest (WEB) (93)
의미없는 블로그
보호되어 있는 글입니다.
보호되어 있는 글입니다.
DLP 우회?
DLP 는 정보유출방지 솔루션이다 개인정보 몇건 이상, 주민등록번호 포함 시 등등 보안 정책을 설정하면 해당 정책에 따라 정보 유출 행위가 모니터링 및 차단 된다 정보 유출 행위란 프린트 한다거나 이메일로 보낸다거나 하는거겠지 네트워크 DLP(NDLP) 와 엔드포인트 DLP(EDLP) 가 있는데 NDLP 는 네트워크단에서 전송 중의 데이터를 모니터링 하는 것 네트워크상 모든 전송 데이터 스캔해서 정책에 위반되는 데이터 있는지(ex. 메일 보내기, 클라우드에 올리기 등) 네트워크상에서 감시하니깐 회사망 벗어나면 통제가 불가하징.. 글고 네트워크단 감시니까 USB로 빼가면 못막지 EDLP 는 디바이스단에서 데이터 유출을 확인하는 것 디바이스에서 네트워크로 나가기 전 단계에서 제어한다(ex. 복사/붙여넣기, ..
React & Vue
리액트랑 뷰 둘다 html 처럼 사용자 인터페이스 만드는 프레임워크라 보면 되겠다 이런걸 프론트엔드 프레임워크라 부르는 듯 html 과의 차이는 html 은 html, css, js... 이렇게 나눠서 개발했다면 얘네는 싱글 파일 컴포넌트라고 해서 한 파일에서 다 관리하는 방식이다 그냥 소스보기(F12) 해서 보면 리액트는 import 부분, style 부분, html 부분 이런식으로 나눠지는 특성이 있어서 알아보기 쉬운데 뷰는 잘 모르겠다 그냥 js 파일에 요런식으로만 보인다 근데 실제 소스코드에서 보면 뷰(Post.vue)는 template, script, style... 이런 형식으로 생겼고 뷰(view)를 제어할 수 있는 방법은 v-if, v-for 등 뷰 문법밖에 없다고 한다 리액트(Post.j..
Spring Mybatis 에서 SQL Injection
Mybatis 랑 JPA 를 많이 비교하는 듯 하다 예전에는 SQL 문과 코드가 섞여 있었다면 얘네는 SQL 문을 분리해서 관리한다는 특징이 있어서 많이 쓰는것 같다 Mybatis 는 SQL 문을 따로 XML 로 분리해서 가지고 있는데 SQL 문 갖다 쓰려면 Java 코드랑 SQL 문을 직접 매핑해줘야 한다고 함 이게 원래 사용하던 SQL 문과 PreparedStatement 사용해서 처리하던 방식 이거 Mabatis 방식인데 아래 XML 에 있는 SQL 문을 위에 DAO 에서 갖다 쓰는 방식 이게 JPA 방식 SQL 문 없이 걍 setName() 으로 DB 에 저장해버리는 ↑ 참고 : https://ss-o.tistory.com/159 무튼 그렇고.. 자세한건 소스 보다보면 알게 되겠지 Mybatis ..
취약점 진단 왜 하냐?
ISMS-P 금취분평 특금법(AML) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 약칭 정보통신망법인데 제47조에 정보보호 관리체계의 인증이라고 있다 이거때매 ISMS 인증 받는거겠지 47조 2항에 보면 인증을 받아야 하는 대상이 주요정보통신서비스 제공자인데 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상 이라고 하니깐 여기 해당되면 받아야겠다 시행령에 보면 인증 받을 때 어떤 것들 보는건지 나와있고.. 시행규칙에 개인정보 보호법 제32조2에 따라 개인정보 보호 인증을 받거나(이게 ISMS-P 겠지) 정보통신기반 보호법 제9조에 따라 취약점 분석 평가를 받으면 인증심사의 일부를 생략할 수 있다고 한다(어디까지 생략?) 개인정보 보호법 제32조2에 ..
이클립스 Spring Project & MySQL Workbench 세팅
[이클립스 Spring 환경 세팅] 1. JDK 1.8 깔았다 (환경변수 세팅) 2. Enterprise Java and Web Developers 로 깔았다 (버전은 걍 최신) 3. Help > Eclipse Marketplace 에서 sts 로 검색해서 Spring Tools 4 깔았다 4. File > New > Other 에서 spring 으로 검색하면 Spring Starter Project 뜬다 (끝) [MySQL Workbench 세팅] 1. 설치는 요기 참고 : https://shinysblog.tistory.com/20 2. 테스트하기 전에 미리 DB 세팅 해놔야 한대서 위에 Create Schema 누르고 adminstudy 이름으로 생성 3. Schemas 탭에서 Create Tabl..
Spring Data JPA 에서 SQL Injection
JPA 란 DB 관련된 자바 API 라고 생각하면 편할거 같다 Spring Data JPA 는 Spring 환경에서 JPA 를 사용해서 DB 구현하는거라 보면 될거같공.. 무튼 JPA 사용해서 DB 구현하는 방식 찾아보면 공통적으로 하는 말이 'SQL 쿼리문을 직접 작성하지 않는다' 고 한다 뭔소린가 했더니 코드를 구현할 때 String sql = insert into user(%s, %s, %d) value(id, passwd, age); 이런식으로 쓰는게 아니고 setId(), setPasswd(), setAge() 이런식으로 객체를 만들어서 쓴다 그래서 장점 중에 쿼리를 수정 안해도 되니까 Oracle, Mssql, Mysql 등 여러 DB 를 사용할 때 문법 걱정이 없다고 한다 테스트 해볼 수 있..