자바에서 MVC 구조를 활용한 미니 프로젝트를 진행하던 중 java.util.ConcurrentModificationException 예외가 발생했다. 에러에러 메시지ConcurrentModificationException는 동시 수정 예외로, List, Map과 같은
자바를 사용하면 static 변수, static 클래스를 자주 볼 수 있다. 예를 들어 메소드 호출 시 에러가 나면 static 변수를 추가하라는 메시지 창이 나와서 에러를 고치기 위해서 단순히 static 을 추가해 코드를 작성했었다. Static 이 '정적' 라는
CSRF는 사이트 간 요청 위조의 줄임말로, 공격자가 타 이용자의 권한을 도용하여 특정 웹 사이트의 기능을 실행하게 할 수 있다.🌱CSRF 성공하기 위한 조건?사용자는 보안이 취약한 서버로부터 이미 로그인되어 있는 상태쿠키 기반의 서버 세션 정보를 획득할 수 있어야
➰ XSS?(Cross Site Scripting) 크로스 사이트 스크립팅은 웹사이트에 악성 스크립트를 주입하는 행위를 말한다. 공격자가 상대방의 브라우저에 스크립트가 실행되도록 해 사용자의 세션을 가로채거나, 웹사이트를 변조하거나, 악의적 콘텐츠를 삽입하거나, 피싱
➰ 점검도구 설치 취약한 HTTPS 관련 취약점을 점검하기 위해 nmap과 openssl, sslscan을 설치해보자. 1️⃣ NMAP 1) 네트워크 스캐닝 및 포트 스캐닝 도구 2) Nmap은 열려있는 포트, 운영 체제 감지, 서비스 버전 감지 등을 통해 웹 서버의
➰ STS(SpringSource Tool Suite)란? Eclipse 는 써봤는데 STS이라는 걸 알게되었다. STS란 뭘까? SpringSource Tool Suite는 Eclipse 에 Spring F/W plugin 이 자동으로 추가된 IDE이다. 이클립스
➰ 취약점 개요 SQL Injection(SQL 삽입)은 사용자가 간섭 가능한 매개변수(URL 파라미터, XML 등)에 의해 SQL 질의문이 완성되는 점을 이용하여, 개발자가 예상하지 못했던 SQL 문장이 실행되게 함으로써 비정상 질의 가능 여부를 점검하는 공격 기법이
➰ 취약점 개요 불충분한 이용자 인증 취약점은 시스템이 사용자 인증 절차를 적절하게 수행하지 못해 발생하는 보안 문제를 말한다. 이 취약점은 공격자가 불법적으로 시스템에 접근하거나 권한을 탈취할 수 있는 기회를 제공한다. 중요정보(개인정보 변경 등) 페이지에 대한 인
Visual Studio Code 1.91.0 ver VirtualBox-7.0.18-162988-Win ubuntu-22.04.4-live-server-amd64.iso vscode로 하는 경우 가끔 나타나는 에러 서버측(vm)의 ~/.vs
문자로 온 링크를 클릭 한번 잘못했다가 돈이 빠져나가거나 개인정보가 유출된다는 말을 들어본 적 있을 것이다. 이에 활용되는 기술이 '딥링크(DeepLink)'인데, 딥링크는 모바일 웹상에 있는 링크나 그림을 클릭할 경우 기기 내 관련 앱이나 사전에 정의된 특정 웹페이지
➰ 취약점 개요 디버그 로그 내 중요정보 노출 여부에 대한 취약점은 시스템 디버깅 과정에서 생성된 로그 파일에 중요한 정보(예: 사용자 비밀번호, 신용카드 정보, 개인식별정보 등)가 포함되어 외부에 노출될 위험을 말합니다. 이러한 정보가 로그 파일에 기록될 경우, 로그
➰ 취약점 개요 화면 강제실행에 의한 인증단계우회 취약점은 사용자가 인증 절차를 거치지 않고도 애플리케이션의 주요 기능이나 민감한 정보에 접근할 수 있게 하는 보안 약점입니다. 이는 공격자가 특정 방법을 통해 앱의 인증 화면을 우회하고, 보호된 기능이나 데이터에 무단
단말기는 브라우저와 다르게 많은 정보를 내부에 저장하여 사용한다. 이는 단말기 내에 민감한 정보가 저장될 가능성이 높다는 것을 의미한다. 단말기 내에 개인정보, 금융정보, 의료정보 등 민감한 정보가 있을 경우, 해커가 물리적 접근이나 악성 소프트웨어를 통해 이를 탈취할
루팅(Rooting)이란 안드로이드 기기에서 최고 권한(root)을 얻는 것을 의미한다. 루트 권한을 획득하면 사용자는 시스템 파일과 설정에 완전한 접근이 가능해진다. 이를 통해 시스템 내부 저장소 접근, 권한 변경 등 다양한 작업을 수행할 수 있습니다.안드로이드에서는
➰ 서론 웹 애플리케이션의 보안 취약점을 식별하기 위해서는 우선 웹 점검 환경을 구축하는 것이 필요하다. 따라서 이번 블로그 포스팅에서는 피들러(Fiddler), Frida, Nox Player, JADX, OpenSSL를 활용하여 웹 점검 환경을 구축하는 방법을 알아
OWASP가 OWASP API Security Top10(2019)을 공유한 지 4년 만에 2023년에 새롭게 갱신된 OWASP API Security Top10(2023)을 발표했다. 4년만에 발표를 했기 때문에 개정된 내용을 살펴보며 어떤 보안 취약점을 살펴보는 것
금융감독원은 안정성과 신뢰성을 확보하기 위해 매년 전자금융기반시설 보안 취약점(WEB/MOB/HTS) 평가기준 정리와 수정을 실시한다. 개정된 2024년도 전자금융기반시설 보안 취약점 평가기준을 살펴보자.웹은 10가지, 모바일 11개, HTS 6개 항목이 개정되었다.출
최근 정보통신기술의 급속한 발전과 함께 AI, 블록체인 등 전자금융거래 환경이 다양해지고 있다. 그러나 이와 동시에 금융 시스템을 악용하려는 공격자들의 위협도 증가하면서 금융권 보안이 심각한 위기에 처해 있다는 경고가 나오고 있다.
진행하는 프로젝트에서는 Keycloak 기본 회원가입 창에서 제공하는 사용자 필드 외에도 주소, 성별, 생년월일 등의 정보도 필요했다. 그래서 Spring과 Keycloak을 연동하여 CustomUserFederation을 구현하였다.Keycloak 자체 로그인을 하면
Keycloak을 도커를 통해 실행하고, 이를 AWS 환경에 배포하였다. 배포된 주소로 키클락 로그인 페이지에 접속하면 배포된 주소에서 연결을 거부했다(ERR_CONNECTION_REFUSED)며 접속이 되지 않았다.Keycloak 서버와 이를 사용하는 클라이언트 간의