웹 보안 XSS(Cross Site Scripting) 취약점과 예시

언제부턴가 웹 보안에 대한 이슈가 부각되고, 보안 전문가들의 몸값이 높아지고 있다.사실 인터넷이 연결된 순간부터 바로 보안 위험에 노출되는 것이기 때문에 앞으로도 보안에 대한 중요성은 점점 더 커질 것이다.사실 나도 보안에 대해서는 잘 모른다. 하지만 웹 개발자가 조금만 신경 써도 충분히 해결할 수 있는 간단한 웹 보안 대응책들이 있다. 하지만, 간단한 것들일 수록 대응하지 않고 공격에 노출 되었을 때 더 강력한 공격을 받을 수 있다.그 중 첫번째로 XSS(크로스 사이트 스크립팅)에 대한 글이다. XSS 즉, 'Cross Site Scripting(크로스 사이트 스크립팅)' 은 웹 보안에 있어서 초기부터 전통적으로 나오는 가장 기본적인 이슈이다. 때문에 보안에 관한 지식이 전혀 없는 웹 개발자가 개발한 ..
프로그래밍 & IT/보안 2017. 1. 31. 19:09

spring boot에서 interceptor(인터셉터) 설정

(글을 시작하기 전, interceptor에 대한 간략한 정리가 필요하다면 http://www.leafcats.com/39 를 참조하시기 바란다.) spring에서 interceptor를 사용하기 위해서는 java코드로 configuration 설정을 해 주던가, xml에서 interceptor에 대한 설정을 해 주면 될 것이다. 그렇다면 spring을 누구나 '쉽게' 사용 가능한 spring boot에서의 interceptor 사용은 어떨까?설정 자체는 일반 spring과 크게 다를게 없다. 1. 사용자는 로그인을 한다. 2. 시스템은 로그인한 사용자 정보를 세션에 저장한다. 3. 사용자는 기능을 요청한다.4. 시스템은 사용자가 요청한 기능을 수행하기 전에 요청한 사용자의 세션을 체크한다. 5. 시스템..
프로그래밍 & IT/Spring & HTML 2017. 1. 31. 00:04

Spring Interceptor란 무엇인가. 필터와 인터셉터의 차이

첫 화면에서 로그인을 해야 기능을 사용할 수 있는 어떤 웹 사이트를 가정해보자.일반적으로 첫 화면에서 로그인을 하고, 나머지 기능들을 ui 클릭을 통해 사용할 것이다. 하지만, 어떤 사용자가 로그인을 해야만 하는 어떤 기능의 url을 복사해 뒀다가 로그인 없이 주소창에 그 url을 붙여넣는다면 어떨까? '별도의 처리' 가 없다면 아마 로그인 없이도 기능을 사용하게 되거나, 에러가 발생할 것이다. 그 '별도의 처리'가 포함된 로직은 일반적으로 아래와 같을 것이다. 1. 사용자는 로그인을 한다. 2. 시스템은 로그인한 사용자 정보를 세션에 저장한다. 3. 사용자는 기능을 요청한다.4. 시스템은 사용자가 요청한 기능을 수행하기 전에 요청한 사용자의 세션을 체크한다. 5. 시스템은 올바른 세션일 경우 기능 승인..
프로그래밍 & IT/Spring & HTML 2017. 1. 30. 23:17

Spring서버로 접속한 client의 IP 가져오기

일반적인 웹 개발을 할 때에 서버에 접속한 클라이언트의 IP를 가져오는 것은 필수이다.로그인 이력 등의 로그성 데이터에 있어서 클라이언트 IP는 가장 중요한 정보이기 때문이다. Spring MVC 기반의 서버에서 개발할 때에 컨트롤러에서 받은 HttpServletRequest 객체를 사용하면 간단하게 IP를 얻을 수 있다. 12345678910111213141516171819 @RequestMapping("/login.do") private ModelAndView doLogin(@Valid LoginVO loginVO, BindingResult result, RedirectAttributes redirect, HttpServletRequest request, HttpServletResponse respo..
프로그래밍 & IT/Spring & HTML 2017. 1. 29. 18:05

티스토리 블로그 네이버 웹마스터도구 수집요청 수집실패 해결방법

티스토리 블로그를 네이버 웹마스터 도구로 수집할 때, 보통 특정 주기로 로봇이 정보를 읽어 가서 네이버 검색에 등록한다. 하지만, 성격급한 나같은 사람들은 쓴 글이 바로 검색이 되어야 직성이 풀린다.그래서 보통 요청 -> 웹 페이지 수집을 통해 바로 수집 요청을 한다. 그런데 어느 순간 잘 되던 수집 요청의 처리 결과가 '수집실패'가 뜨는 것이었다. 구글링을 해 보니 티스토리 스킨을 변경하면 네이버 로봇이 정신을 못차리고 수집 실패 한다는 것이었다. 그럴만도 한게 스킨을 변경하는 것은 HTML 구조 전체와 css, 각종 js들까지 다 바뀌는 것이라 같은 사이트로 인식을 못 할 수도 있겠다 싶었다. (구글 웹마스터도구는 스킨을 바꾸건 HTML에 무슨짓을 하던 바로 인식한다.) 수집요청 뿐 아니라, 자동으로..
블로그 & 애드센스 2017. 1. 29. 18:04

[오사카 혼자여행] 오사카 맛집 소바기리 아야메도 - 오사카 미슐랭 원스타 소바(そば切り文目堂)

혼자 떠난 오사카 여행의 목적은 철저하게 맛 이었다.3박 4일의 여행에서 약 40곳이 넘는 맛집들을 조사해서 갔고, 그 중 장소와 순간의 땡김에 따라 하루에 꼬박꼬박 다섯끼씩 먹었다. 원래 최대한 많은 맛집들을 조사해 간 뒤 그때 그때 땡기는 곳을 가는게 내 여행 스타일 이지만, 꼭 가야할 곳은 정해서 간다.그 중 하나였던 오사카 맛집 소바기리 아야메도 를 소개한다. 소바는 일식 하면 떠오르는 대표적 음식 중 하나이자, 내가 한국에서도 무척 좋아하는 음식이다.일본 여행을 가면 꼭 먹어보고 싶었던 소바였기에 무려 미슐랭 스타를 받은 곳이 있다기에 찾아가 봤다. 1. 위치 & 인테리어 구글맵으로 보기 마쓰야마치 역과 다니마치로쿠초메 역에 가깝게 있지만, 신사이바시에서도 충분히 걸어갈 수 있는 거리에 있다.나..
여행/오사카 2017. 1. 29. 18:04

Thymeleaf를 편리하게 사용하기 위한 Eclipse(이클립스) 플러그인

Thymeleaf를 사용할 때 가장 불편했던 점이, 많은 속성들을 하나 하나 가이드에서 찾아가며 코딩 해야 한다는 것이었다. 많은 개발자들이 사용하는 보편적인 IDE인 이클립스에 Thymeleaf의 사용을 도와주는 플러그인이 있다.Eclipse marketplace에는 안타깝게도 없다. Help -> Install New software에서 Work with에 http://www.thymeleaf.org/eclipse-plugin-update-site/ 를 입력한 뒤 엔터키를 눌러 설치하면 끝이다. Next, Next하다 아파치 라이선스 동의 해주고 설치 하다 경고 나오면 확인해 주고, 마지막으로 이클립스 리스타트 하면 끝난다. 참고로 Thymeleaf를 사용하기 위해서는 아래와 같은 과정만 해 주면 된..
프로그래밍 & IT/Spring & HTML 2017. 1. 29. 18:03

Spring(spring boot)에서 Thymeleaf를 사용한 HTML로의 값 전달

최근 Spring boot가 나오고, Spring의 진입장벽이 현저하게 낮아지며 급속도로 확산되고 있는듯 싶다.Spring MVC로 서버 개발을 할 때, 화면 랜더링 처리를 담당하는 기술로는 주로 JSP를 표준으로 많이 사용해 왔다. 그동안 몇몇 프로젝트를 하며 항상 jsp로 화면 랜더링을 해 왔는데, 요새는 이게 또 구식이란다. Spring boot에서는 기본적으로 JSP와 Thymeleaf(타임리프), Velocity 등을 지원 하는데, 이 중 Thymeleaf를 적극적으로 미는 느낌이다.각각의 장, 단점이 있기에 같이 쓸 수 있으면 좋은데 현재로서는 불가능한 것으로 알고 있다. (Spring boot의 단점인 빡빡한 태그 규칙 문제는 http://leafcat.tistory.com/27 를 참고) ..
프로그래밍 & IT/Spring & HTML 2017. 1. 29. 18:02

[오사카 혼자여행] 호텔 마이스테이스 신사이바시 이스트 - 오사카 도톤보리,난바 숙박/호텔 (Hotel Mystays Shinsaibashi East)

오사카 숙박/호텔 호텔 마이스테이스 신사이바시 이스트(Hotel Mystays Shinsaibashi East) 비가 많이 내리던 여름 여행했던 오사카는 내 첫 '혼자' 여행지이다. 돈없고 가진건 튼튼한 몸과 넉넉한 시간 뿐이던 대학생 시절 여행에서 제일 중요한건, "가성비 >> 음식 > 관광 >>>>>> 잠자리" 였다.잠자리가 좀 불편해도 건강한 체력이 충분히 받아 줄 수 있을 뿐더러, 넉넉한 시간 덕에 여유롭게 움직일 수 있었기 때문이다.하지만, 돈은 있고 몸은 예전만 못하고 시간은 없는 지금 나에게 여행에서의 중요도는 "잠자리 > 음식 >>>> 관광 >>> 가성비" 이다. 때문에 나는 여행을 계획할 때 가장 많은 시간을 숙소 선정에 할애하기 때문에 실패할 확률이 매우 적다.(믿어도 된다는 말씀이다!..
여행/오사카 2017. 1. 29. 18:01

thymeleaf로 HTML 에서 Spring boot 서버단으로 값 전달하는 세가지 방법

thymeleaf 에서 Spring boot로 구동되는 서버단으로 값을 전달할 때에 다양한 방법이 있을 수 있다.그 중 생각나는 세가지 방법을 로그인 프로세스 예시를 통해 알아보도록 하자. 1. 전통적인 html form submit html form 태그로 감싸 포함된 항목들을 get 혹은 post 방식으로 submit하여, 서버의 컨트롤러에서 HttpServletRequest로 받는 방식이다. Login Colored by Color Scriptercs 위와 같이 loginForm이라는 id의 form이 email과 password를 감싸고 있다.이 form은 submit type의 버튼을 통해 /login.do로 HttpServletRequest에 값을 담아 전달한다. 이제 값을 전달받을 /logi..
프로그래밍 & IT/Spring & HTML 2017. 1. 29. 18:01

서울 신라호텔 이그제큐티브 라운지 패키지 - day 2(조식/브런치)

지난 글( [day1] 에프터눈티 / 해피아워 : http://www.leafcats.com/24 ) 에 이은 둘째날 서울 신라호텔 이그제큐티브 라운지의 사육 패키지에 대한 글이다. 첫째날 체크인 -> 에프터눈티 -> 해피 아워 에 이어 술도 살짝 올라오겠다 동대문 쇼핑을 하고 와서 잠을 청했다.커피가 너무 맛있어서 매 끼니마다 커피를 3~4잔씩 마셨더니 잠이 안올법도 했지만, 신라호텔의 (흔들리지 않는 편안함) 시몬스 침대는 살면서 누워본 침대중 최고였다.그래서인지 일찍 일어나 신라호텔의 피트니스를 이용하겠다는 계획은 야심찬 계획은 집어 치우고 푹 숙면을 취했다. 1. 조식 조식 시간은 6:30~10:00이다. 넉넉한 시간이다.8시 30분쯤 슬금슬금 기어 나가 마침 비어있는 창가에 자리를 잡았다. 저 ..
Life/음식 2017. 1. 29. 17:59

toad에서 mysql / mariadb table 관리(Create / Alter / ERD)

5년전 쯤만 해도 toad에서의 ERD 기능은(특히 oracle이 아닌 db) 기타 상용 tool에 비해서 다소 열약했다.지금은 MySQL(MariaDB)도 Toad for MySQL을 사용하여 훌륭하게 관리 할 수 있다. DBMS 관리/분석 툴로는 Toad for MySQL을 사용할 생각이었지만, ERD 관리에 있어서는 전에 사용한 적 있는 상용 Tool인 SAP사의 Power Designer와 Toad 중 어떤 것을 사용할지 고민이 되었다. Toad를 통해 사용자 테이블(LCUSRBASE)과 사용자 로그(LCUSRLOG) 테이블을 생성하고, EHD를 살펴보도록 하자. 1. Toad For MySQL의 Tool -> Database Diagram에 들어간다.Tool -> Database Explorer..
프로그래밍 & IT/DB 2017. 1. 29. 17:58

서울 신라호텔 이그제큐티브 라운지 패키지 - day 1(에프터눈티/해피아워)

국내 호텔 브랜드 평판 조사에서 매번 1위를 차지하는 신라호텔이다. 좋은 가격에 회사에서 프로모션을 제공해 주어 바로 예약했다.눈이 많이 쌓인 날이라 차는 가져가지 않고, 대중교통을 이용했다. 동대입구역 5번출구에는 셔틀버스가 항시 운행하고, 어느 정도 고객이 탑승 하자 출발하였다.셔틀버스에서부터 느껴지는 친절함이 심상치 않다. 매번 저~ 아래에만 보던 느낌은 벽돌 색의 약간은 투박한 건물이었는데, 올라가서 본 느낌은 양식 건물과 한식 건물이 완벽한 조화를 이룬 묘한 느낌이었다.(눈까지 와서 더 분위기 있었다.) 이그제큐티브 라운지 패키지는 신라호텔의 VIP 라운지인 이그제큐티브 라운지에서 비지니스 디럭스 룸 1박 + 애프터눈티(디저트) + 해피 아워(디너 + 주류) + 조식 + 브런치(점심) 을 제공하..
Life/음식 2017. 1. 29. 17:58

SSD, RAM 업그레이드(추가 설치) 과정

어제 퇴근 후 외박을 하고 토요일인 오늘 집에 와 보니 반가운 택배박스가 와 있었다.목요일에 주문한 SSD와 RAM이다. 512GB의 삼성 PRO SSD라니 뭔가 신성해 보인다. 부자가된 기분이다.램은 듣던대로 호일에 포장되어 왔는데 원래 이렇게 온다는걸 미리 검색해본게 아니었다면 매우 당황했을 뻔 했다.SATA 캐이블이 없어 하나 추가로 주문했다. 먼저 SSD를 장착해 보자! 기존에 있던 하단의 128G 짜리 SSD의 상단 공간에 신성한 512G의 SSD를 장착했다.그 다음 케이블 연결을 위해 케이스 뒷면을 까고 알맞은 케이블을 찾는다. 빨간 칼국수 줄이 SATA3 케이블이다.(데스크탑, 노트북, 넷북 등에 탑재된 HDD의 연결 방식입니다. S-ATA2의 단점을 보완한 제품으로 전송속도가 2배 향상되어..
IT제품 리뷰 2017. 1. 29. 17:56

웹디자인 - 색상설계(먼셀의 색상환)

웹 디자인은 시각적 요소가 가장 중요하다 보니 당연히 색 의 선택은 큰 영향을 줄 수밖에 없다.웹 디자인의 색상설계에 대해 좋은 글을 발견해 공부해 보았다. 먼셀의 20색상환이다. 10색상환도 있지만 크게 개념은 비슷하다. 빨강, 노랑, 초록, 파랑. 보라를 기본으로 20색으로 표현하였으며 각각의 색상이 주는 이미지가 다르다.이 10~20색으로 이루어진 색상환을 이용해 다양한 색상 설계를 할 수 있다. 1. 단색설계 단색설계는 기본색상 하나를 선택한 뒤, 명도를 조절하여 만든 몇 가지 색상을 사용하는 방법이다.특정 색상 자체가 기업 이미지를 상징하거나, 통일성이 필요한 경우 사용하면 효과적이다. 2. 무채색 설계 단색설계에 포함되는 개념이다. 색상환 표에 있는 색상은 아니지만 검정색 / 흰색 / 회색만을..
프로그래밍 & IT/웹디자인 2017. 1. 29. 17:55