시큐어 코딩 - 3일차 파일 업로드 / 다운로드 업로드 업로드되는 파일의 타입을 제한하지 않는 경우 업로드되는 파일의 크기나 개수를 제한하지 않는 경우 업로드된 파일을 외부에서 직접적으로 접근한 경우 업로드된 파일의 이름과 저장된 파일의 이름이 동일해 공격자가 파일을 인식 가능한 경우 업로드된 파일이 실행권한을 가지는 경우 아래와 같은 파일을 업로드하여 브라우저에서 test.jsp?cmd=notepad 라고 치면 notepad를 실행하게된다. //JSP // jpg // file size < 10m // file type image if ( file != null && ! "".equals(file.getOriginalFilename()) && file.getContentType().contains("i..
보안
Secure_Coding_kisa_2.md 시큐어 코딩(KISA) Day - 21. Injection1. SQL Injection철저한 외부 입력값에 대한 검증 작업이 수행되지 않다면 다양한 방법으로 공격이 올 수 있다. 안정성을 검증하는 작업을 수행한 뒤 응답하는 프로그램 작성을 요구 한다.강사님 사이트 접속 ```xml select idx, userId, userPw, userName, joinDate from board_member where userId = #userId# select idx, userId, userPw, userName, joinDate from board_member where userId = '$userId$' and userPw = '$userPw$' where userId..
시큐어코딩 (KISA) Day - 1 해킹방어를 위한 시큐어코딩 교육 ( 9/6 ~ 9/9 ) 김영숙 강사 (오픈이지 대표) 실습 위주의 과정 개발자를 위한 과정, 코드 수정을 위한 과정, 개선하는 과정이라고 볼 수 있다. JAVA 기반으로 진행. Part 1. 안전한 소프트웨어 개발 방법론 1. 소프트웨어 개발보안의 중요성 웹이 대중화되면서 많은 기업들이 웹을 통해 서비스를 하면서 기업의 자산을 노리는 사이버 공격 또한 웹을 주요 타겟으로 삼게 되었다. 방화벽이나 다른 보안 도구를 통해 보안을 강화하고 있기 떄문에 시스템의 취약적인 부분을 찾기가 힘들어졌다. 즉, 웹을 이용하는 80번 포트를 주요 타겟으로 삼게 됨. 공격 유형 1차 해킹 : 외부망을 통한 공격 2차 해킹 : 내부망을 통한 공격 Laye..
