목록분류 전체보기 (293)

의미없는 블로그

[Spring/Java] Interceptor 에서 Annotation 처리

보호되어 있는 글입니다.
# 나/source Code 2024. 5. 10. 15:07
사칭 사이트

보호되어 있는 글입니다.
# 나/electronic financial 2024. 5. 10. 10:42
[Spring/Java] 비밀번호 검증 로직

비밀번호 규칙 검증1. s 가 숫자를 포함하지 않거나 (.*[0-9].*)2. 알파벳을 포함하지 않거나 (.*[a-zA-Z].*)3. 특수문자를 포함하지 않거나 (.*[~!@\\#$%^&*].*)4. 8자 미만이거나5. 50자 초과하면 에러 발생  비밀번호 바꿀 때 UserID 파라미터 값 조작 못하게 검증1. 현재 로그인한 사용자 정보(loginDto)에서 mid 가져오고2. 입력값(passwordSetDto)에서 rMid 가져와서3. mid 랑 rMid 가 일치하지 않을 때 에러 발생
# 나/source Code 2024. 5. 10. 10:27
보고서 작성용

보호되어 있는 글입니다.
# 나/pentest (WEB) 2024. 5. 8. 13:48
[CPPG] T1. 개인정보 보호의 이해 (1)

보호되어 있는 글입니다.
# 나/technical terms 2024. 5. 7. 18:11
SAST 왜 쓰냐

동적진단 / 정적진단 동적은 실제 패킷 레벨에서 exploit 가능성을 찾아내는 것정적은 소스코드 레벨에서 취약점을 찾아내는 것 실제 발현 가능한 취약점만 찾으면 되지 왜 정적 진단 해야하냐?  약간 관점이 다르다정적진단은 코드상의 Best Practice 를 찾아서이걸로 회사의 거버넌스를 만들어 가는데 초점을 둔다그래서 점진적으로 회사의 자산(소스코드)을 안정화 해가는 느낌? 글고 동적은 서비스마다 보통 2~3일, 사이즈 큰거는 1~2주도 걸리자나근데 sast 는 매일 돌릴 수 있으니까아니면 신규 소스 배포될 때마다 돌리던지빠르고 대규모로 사용 가능하다는것이 장점이다 (sast 안쓰고 직접 소스코드 진단하면 빠르진 않겠지..그래도 점진적으로 소스코드를 안정화 해갈 수 있다는점에서동적진단과 차이가 있다고..
# 나/temp 2024. 5. 7. 10:47
[ASP.NET/C#] SSRF 취약점

요런 느낌Spring 프레임워크 > Java 언어로 구현ASP.NET 프레임워크 > C# 언어로 구현 입력(Request)이 WebRequest 로 바로 처리되는 부분을 찾아 WebProxy.aspx.cs입력(callUrl)이 WebRequest.Create 로 처리되자나test.com 은 외부 서비스, callUrl 은 내부 서비스일때 https://test.com/WebProxy.aspx?callUrl=내부서비스하면 내부 서비스 접근 가능내가 직접 내부 서비스 접근하면 권한 없는데SSRF 는 서버가 직접 접근해주니까 가능 .aspx.csWebRequest.Create(url)webClient.DownloadData(imgUrl)*.cswebrequestwebclient
# 나/source Code 2024. 4. 29. 18:10
[ASP.NET/C#] DataRow/DataTable (Stored XSS 취약점)

보호되어 있는 글입니다.
# 나/source Code 2024. 4. 26. 15:40
Prev 1 2 3 4 5 6 7 8 ··· 37 Next