목록# 나/source Code (44)
의미없는 블로그
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
[Spring/Java] 비밀번호 검증 로직
비밀번호 규칙 검증1. s 가 숫자를 포함하지 않거나 (.*[0-9].*)2. 알파벳을 포함하지 않거나 (.*[a-zA-Z].*)3. 특수문자를 포함하지 않거나 (.*[~!@\\#$%^&*].*)4. 8자 미만이거나5. 50자 초과하면 에러 발생 비밀번호 바꿀 때 UserID 파라미터 값 조작 못하게 검증1. 현재 로그인한 사용자 정보(loginDto)에서 mid 가져오고2. 입력값(passwordSetDto)에서 rMid 가져와서3. mid 랑 rMid 가 일치하지 않을 때 에러 발생
[ASP.NET/C#] SSRF 취약점
요런 느낌Spring 프레임워크 > Java 언어로 구현ASP.NET 프레임워크 > C# 언어로 구현 입력(Request)이 WebRequest 로 바로 처리되는 부분을 찾아 WebProxy.aspx.cs입력(callUrl)이 WebRequest.Create 로 처리되자나test.com 은 외부 서비스, callUrl 은 내부 서비스일때 https://test.com/WebProxy.aspx?callUrl=내부서비스하면 내부 서비스 접근 가능내가 직접 내부 서비스 접근하면 권한 없는데SSRF 는 서버가 직접 접근해주니까 가능 .aspx.csWebRequest.Create(url)webClient.DownloadData(imgUrl)*.cswebrequestwebclient
보호되어 있는 글입니다.
보호되어 있는 글입니다.
[ASP.NET/C#] XSS 필터링 (HttpUtility.HtmlEncode / RemoveHtmlTag / RemoveScriptTag)
HttpUtility.HtmlEncode 로 입력값 필터링 " 이런거 필터링 됨( ) 는 안됨 Index.aspx.csRequest["ReturnUrl"] 로 입력값 받고HttpUtility.UrlEncode(ReturnUrl) 로 필터링 걸음Index.aspx위에서 받은 ReturnUrl 출력하고 있음/Index.aspx?ReturnUrl=스크립트 넣어보면 URL 인코딩 돼서 출력됨 RemoveHtmlTag, RemoveScriptTag 로 입력값 필터링이건 정규표현식으로 구현해서 쓰는건가 보다 MySellerInfo.aspx.cs[WebMethod] SetSellerMinishopInfo 는 /MySellerInfo.aspx/SetSellerMinishopInfo 요렇게 쓴다는 뜻임 파라미터에 Re..