슈개's IT & Financial

[SW개발보안] 개발보안 기타 정리 내역2 적절한 인증 없는 중요 기능 허용 회원정보 변경 신청 페이지 회원정보수정 사용자ID ⇐ 사용자 ID를 편집(수정)할 수 없도록 제한 회원이름 기존비밀번호 신규비밀번호 신규비밀번호확인 로그인 페이지로 돌아가기 회원정보 변경 처리 ⇒ 교재에 나와있는 코드 @RequestMapping(value = "/modify.do", method = RequestMethod.POST) ↱ 사용자 화면에서 입력한 값이 저장 public ModelAndView memberModifyProcess(@ModelAttribute("MemberModel") MemberModel memberModel, BindingResult result, HttpServletRequest request,..

[SW개발보안] 개발보안 기타 정리 내역1 암호 알고리즘 및 키 길이 이용 안내서(2018.12) https://seed.kisa.or.kr/kisa/Board/38/detailView.do 사용자 하드디스크에 저장된 쿠키를 통한 정보 노출 쿠키의 지속시간, 유효기간을 필요 이상으로 길게 설정했을 때 발생 길게 설정되면 파일 형태로 저장 저장소(storage) https://www.w3schools.com/html/html5_webstorage.asp session storage local storage Input Autocomplete https://www.w3schools.com/tags/att_input_autocomplete.asp 명시적 예외 v 런타임 예외 명시적 예외 = 구문 오류 => 컴파..

[SW개발보안] SR1-10. 업로드·다운로드 파일 검증 위험한 형식 파일 업로드 파일 업로드 기능이 존재하는 경우, 파일의 크기와 개수를 제한하지 않고, 파일의 종류를 제한하지 않고, 외부에서 접근 가능한 경로에 파일을 저장하는 경우 발생 → 서버의 연결 자원, 디스크 자원을 고갈시켜 정상적인 서비스를 방해 → 서버 사이드에서 동작하는 프로그램을 업로드 후 실행하여 해당 서버의 제어권을 탈취 ⇒ 웹쉘(WebShell) → 악성 코드의 유포지로 악용 [방어기법] 파일의 크기와 개수를 제한 파일의 종류를 제한 확장자 검증 Content-Type 검증 File Signature = Magic Number(Code) ⇒ https://www.garykessler.net/library/file_sigs.html..