Web Programming
-
부적절한 XML 외부 개체 참조 - 시큐어코딩 가이드
Web Programming 2023. 5. 16. 23:08XXE 개념 XXE (XML External Entity)는 XML 파싱 과정에서 발생하는 보안 취약점으로, 외부 엔티티를 사용하여 악의적인 행위를 수행할 수 있는 공격입니다. 주로 악의적인 XML 문서를 통해 서버의 파일 시스템 액세스, 원격 코드 실행, 서비스 거부 등의 공격이 이루어질 수 있습니다. - DTD를 완전하게 비활성화 화거나 비활성화를 할 수 없는 경우에는 외부 엔티티 및 외부 문서 유형 선언을 각 파서에 맞는 고유한 방식으로 비활성화 해야함 해결방안 - DocumentBuilderFactory 사용시 .setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD,""); .setAttribute(XMLConstants.ACCESS_EXTERNAL_SCHEMA, ""..
-
경로 조작 및 자원 삽입 - 소프트웨어 보안 가이드
Web Programming 2023. 5. 16. 22:30검증되지 않은 외부 입력값을 통해 파일 및 서버 등 시스템 자원에 대한 접근 혹은 식별을 허용할 경우, 입력값 조작을 통해 시스템이 보호하는 자원에 임의로 접근할 수 있는 보안약점. 경로 조작 및 자원 삽입 약점을 이용하여 공격자는 자원의 수정․삭제, 시스템 정보 누출, 시스템 자원 간 충돌로 인한 서비스 장애 등을 유발할 수 있다. 즉, 경로 조작 및 자원 삽입을 통해서 공격자가 허용되지 않은 권한을 획득하여, 설정에 관계된 파일을 변경하거나 실행시킬 수 있음. 보안 대책 외부의 입력을 자원(파일, 소켓의 포트 등)의 식별자로 사용하는 경우, 적절한 검증을 거치도록 하거나, 사전에 정의된 적합한 리스트에서 선택되도록 한다. 특히, 외부의 입력이 파일명인 경우에는 경로순회(directory travers..
-
자바스크립트 스크롤 에러 먹히지 않을때
Web Programming 2023. 5. 14. 19:18달력 클릭시 ajax로 데이터를 불려와서 보여주면서 숫자가 많으면 스크롤이 생기면서 스크롤 기능이 먹어야하는데 스크롤이 먹통이 되었다 ㅠㅠ 이곳 저곳 구글링해봐서 찾아 본 결과 ajax 호출하는 함수안에 아래와 같이 선언해주니 해결되었음 !! 스크롤 생성 -> 스크롤을 먹통 -> 스크롤 업데이트 정확한 원인을 모르겠으나.. 새롭게 불러오면서 스크롤이 교체되면서 재기능을 못했던 것 같고 결론적으로는 새로 생성 후 update 로 작동을 시키는 것 같다.. $(".클래스").mCustomScrollbar(); /* at some point in your js script/code disable scrollbar */ $(".클래스").mCustomScrollbar("disable"); /* re-enable..
-
zum 사이트 검색 등록 방법
Web Programming 2023. 5. 14. 18:54다음, 빙, 크롬이에외도 zum 에도 내 자신의 블로그 글을 노출시킬려면 zum 에서 'zum 사이트 검색 등록' 으로 등록 시키면 된다 !! zum 사이트 검색 등록 으로 검색 !! 가운데 검색 서비스 선택 !! 검색서비스 - 블로그 상태에서 아래 내용을 입력하면 1주 이내에 메일로 검색 등록여부를 회신 받을 수 있다. ( 회워가입 X ) 아무래도 네이버, 다음에 비해 검색량은 현저히 떨어지겠지만 하루 검색 1건이라고 더 받기 위해서는 zum 에서도 사이트 검색 등록을 해주는 것이 좋다 ㅎㅎ