목록분류 전체보기 (293)

의미없는 블로그

[ASP.NET/C#] GetMethod() Reflection 기능 (Unsafe Reflection 취약점)

보호되어 있는 글입니다.
# 나/source Code 2024. 4. 26. 11:05
vscode <> checkmarx 소스코드 스캔

https://github.com/hi8544/test2요 레포로 테스트 할거임 프로젝트 등록할 때 깃허브 로긴하면레포 지정할 수 있음스캔 트리거를 지정하면Push, Pull request 이벤트 발생할때마다 스캔 하나봄(Push 는 소스 올리는거, Pull request 는 소스 올렸다고 다른 사용자에게 알리는거)그래서 깃허브 Webhooks 에 체크막스가 추가됨xss_login.php 에SQL Injection 으로 잡혔는데제대로 고친건 아닌데걍 대충 이렇게 고치고 푸시하면스캔 자동으로 다시 돌아가고SQL Injection 취약점 없어짐VSCode 랑 체크막스 연동하면 (API 키 있어야 됨)요렇게 VSCode 에서 스캔 결과 바로 확인 가능함AI Security Champion 기능 사용하면 (지피..
# 나/temp 2024. 4. 25. 16:41
github <> vscode 소스코드 업로드

깃허브 계정 만들고Repositories > New 로 레파지토리 생성vscode 에서 Clone Repository 해서만든거랑 연결해작업할 폴더 하나 지정해주면폴더 하위에 레파지토리 생성됨여기다가 소스코드 작성해그러면 vscode 에 반영됨메시지 꼭 쓰고 Commit 해Sync Changes ㄱㄱ소스코드 올라감
# 나/temp 2024. 4. 25. 15:11
[블록체인] 스마트 컨트랙트 / 솔리디티 / ERC-20 개념

블록체인이 데이터 저장하는 기술이자나 은행 같은데는 거래 데이터가 중앙집중(독점) 으로 저장되니까블록체인은 데이터 독점 막을라고 거래 데이터를 체인 형태로 묶어서 계속 동기화(탈중앙화) 하는 그런 느낌  이런 블록체인 기술을 기반으로 제3의 인증기관 없이(탈중앙화) 개인간 계약 이루어질 수 있게 하는게스마트 컨트랙트(=계약) 이래주로 거래 계약 같은거에 쓰이는듯 (얼마 있냐, 얼마 보낼꺼냐.. 같은?) 솔리디티는 스마트 컨트랙트 개발할 때 쓰는 언어이더리움이 만들었다고 함.sol 확장자 사용 (https://kong-dev.tistory.com/177) ERC-20 은 토큰(디지털 자산) 개발할 때 쓰는 규격을 말함요 규격으로 토큰을 개발하면 대체 가능한 토큰이 됨대체 가능..
# 나/technical terms 2024. 4. 24. 17:39
[ASP.NET/C#] XSS 필터링 (HttpUtility.HtmlEncode / RemoveHtmlTag / RemoveScriptTag)

HttpUtility.HtmlEncode 로 입력값 필터링  " 이런거 필터링 됨( ) 는 안됨 Index.aspx.csRequest["ReturnUrl"] 로 입력값 받고HttpUtility.UrlEncode(ReturnUrl) 로 필터링 걸음Index.aspx위에서 받은 ReturnUrl 출력하고 있음/Index.aspx?ReturnUrl=스크립트 넣어보면 URL 인코딩 돼서 출력됨 RemoveHtmlTag, RemoveScriptTag 로 입력값 필터링이건 정규표현식으로 구현해서 쓰는건가 보다 MySellerInfo.aspx.cs[WebMethod] SetSellerMinishopInfo 는 /MySellerInfo.aspx/SetSellerMinishopInfo 요렇게 쓴다는 뜻임 파라미터에 Re..
# 나/source Code 2024. 4. 23. 11:20
[ASP.NET/C#] Reflected XSS 취약점

Spring 프레임워크 > Java 언어로 구현ASP.NET 프레임워크 > C# 언어로 구현 닷넷 왜케 복잡하냐요런식으로 연결 되어있다.aspx.cs → .aspx.ascx.cs → .ascx  .csRequest["root_path"];.aspxroot_pathRequest.Params["cmpl_lng"];cmpl_lngRequest.QueryString["example_url"];example_url Request["textarea"] Request.Params["textarea"] Request.QueryString["textarea"] 출력할 때 로 하면 양호 (Html 인코딩) 로 하면 취약
# 나/source Code 2024. 4. 23. 11:05
[ASP.NET] 닷넷 전처리 IMethodBeforeAdvice (파라미터 권한 검증)

보호되어 있는 글입니다.
# 나/source Code 2024. 4. 22. 15:49
[ASP.NET] 닷넷 전처리 IHttpModule (Reflected XSS 필터링)

닷넷에 HTTP Module 이라는 개념 있다고 함 요걸로 HTTP 요청 시작하거나 종료할때 이벤트를 처리할 수 있다고 함 그래서 이걸로 HTTP 요청에 대한 전처리 구현하나 봄 *.cs 파일에 IHttpModule 인터페이스 받아다가 쓰는 형태라고 함 *.cs Init 모듈이 초기화될 때 실행할 코드 Dispose 모듈이 해제될 때 실행할 코드 BeginRequest 요청이 시작될 때 수행할 작업 EndRequest 요청이 종료될 때 수행할 작업 그래서 IHttpModule 모듈 있는 곳에서 url 관련해서 처리 하는 부분 있나 보면 될 것 같다 *.cs HttpContext.Current.Request HttpContext.Current.Request.Url.AbsoluteUri 전체 URL 을 반환..
# 나/source Code 2024. 4. 22. 12:14
Prev 1 ··· 3 4 5 6 7 8 9 ··· 37 Next