[SpringBoot3] 로그인 페이지 실습 1

[개발환경] M2 OSX Ventura 13.2.1 VS Code SpringBoot 3.0.2 OpenJDK 17 Gradle 7.6 [Docker] - mysql:latest 들어가며 SpringBoot3에서 Spring Session과 JWT를 이용한 인증, 인가 로직을 구현하고 발생할 수 있는 취약점을 분석한다. Spring Session과 JWT는 둘 다 스프링 부트 애플리케이션에서 인증과 세션 관리를 위해 사용될 수 있지만, 서로 다른 방식으로 작동한다. Spring Session은 세션 데이터를 저장하기 위한 다양한 저장소(예: Redis, MongoDB, JDBC 등)를 지원하며, 서버 측에서 세션을 관리한다. Spring Security와 함께 사용할 때, Spring Session은 인..

  • format_list_bulleted DEV/SpringBoot
  • · 2023. 3. 8.
  • textsms
[AWS SAA-C03] AWS CloudFront 보안

[AWS SAA-C03] AWS CloudFront 보안

CloudFront 보안 CloudFront 보안은 여러가지 특징을 가진다. = 유휴상태 및 전송 시 암호화 지원 = 특정 지리적 위치의 사용자가 콘텐츠에 액세스하지 못하도록 방지 = HTTPS 연결 구성 = 서명된 URL 또는 쿠키를 사용하여 선택한 사용자의 액세스를 제한 = 오리진 액세스 ID(OAI)를 사용하여 S3 버킷의 콘텐츠에 대한 액세스를 제한하여 사용자가 파일의 직접 URL을 사용하지 못하도록 한다. = 특정 내용 필드에 대한 필드 수준 암호화 설정 = AWS WAF 웹 ACL을 사용하여 웹 액세스 제어 목록(웹 ACL)을 작성하여 내용에 대한 액세스를 제한 = 특정 지리적 위치의 사용자가 CloudFront 배포를 통해 제공되는 콘텐츠에 액세스하지 못하도록하려면 지리적 제한(geobloc..

  • format_list_bulleted Security/Cloud Computing
  • · 2023. 3. 4.
  • textsms
[SpringBoot3] Gradle 빌드 오류(Could not build action using Gradle distribution)

[SpringBoot3] Gradle 빌드 오류(Could not build action using Gradle distribution)

문제 Could not run phased build action using connection to Gradle distribution 오류 발생하면서 Gradle 빌드가 되지 않는 오류 발생 해결 gradle 버전이 일치하지 않아서 발생하는 문제이며, gradle 경로에서 사용하지 않는 버전을 삭제한다. (또는 설치된 모든 gradle을 모두 삭제한 후 새로 build를 하면 자동으로 선언되어 있는 버전을 새로 다운받는다.) Windows: C:\Users\[UserName]\.gradle\wrapper\dists OSX: ~/.gradle/wrapper/dists 이후에 Gradle에서 Build를 다시 수행한다. 참고 https://stackoverflow.com/questions/68321708..

  • format_list_bulleted DEV/SpringBoot
  • · 2023. 3. 1.
  • textsms
[안드로이드 모의해킹] 안드로이드 운영체제 개요

[안드로이드 모의해킹] 안드로이드 운영체제 개요

직접 연구하여 작성한 자료입니다. 공식 출처가 명시되지 않은 자료의 무단 복제, 사용을 금지합니다. 공격 기법은 학습용, 허가된 환경에서 실습 바랍니다. 실 운영망 대상 공격은 처벌받습니다. (정보통신망법 제48조 1항) 개요 취약점 진단가의 입장에서 안드로이드 운영체제를 정리한다. 취약점을 발굴하기 위한 위협모델링부터, 안드로이드 OS에서 발생할 수 있는 취약점에 대한 내용이다. 위협 모델링(Threat Modeling) 중요 자산을 보호하기 위해서 기업들은 위협과 위험을 최소화하기 위해 사전에 점검한다. 그 단계중 하나로 위협 모델링을 실시하는데 이를 위해 가장 먼저 살펴보아야할 것은 무엇일까, 평가 요소는 다음과 같다. 시스템의 구조(Architecture) 시스템의 보안 상태 보호해야할 자산 가능..

  • format_list_bulleted Security/Mobile
  • · 2023. 2. 25.
  • textsms
[SpringBoot 3] MySql 연동하기

[SpringBoot 3] MySql 연동하기

[개발환경] M2 OSX Ventura 13.0.1 VS Code SpringBoot 3.0.2 Java 11 Gradle 1. MySQL DB Docker image 내려받기 docker pull mysql docker run --name mysqldb -e MYSQL_ROOT_PASSWORD=Password -e MYSQL_DATABASE=mydb -d -p 3306:3306 mysql:latest docker container ls 명령으로 실행중인 컨테이너 확인할 수 있다. 2. [SpringBoot3] 의존성 추가 build.gradle 파일에 mysql 연결을 위한 의존성을 추가한다. JSP으로 작업할 때에는 직접 드라이버를 찾아서 설치해줘야 했는데 한 줄 추가만 하면 된다. implement..

  • format_list_bulleted DEV/SpringBoot
  • · 2023. 2. 22.
  • textsms
[안드로이드 모의해킹 실습] 개요

[안드로이드 모의해킹 실습] 개요

직접 연구하여 작성한 자료입니다. 공식 출처가 명시되지 않은 자료의 무단 복제, 사용을 금지합니다. 공격 기법은 학습용, 허가된 환경에서 실습 바랍니다. 실 운영망 대상 공격은 처벌받습니다. (정보통신망법 제48조 1항) 개요 모바일 모의해킹 과정으로, OWASP 모바일 애플리케이션 보안 검증 표준(MASVS)의 관련 항목에 대한 실습 및 심층 탐구 OWASP TOP 10 항목과 더불어 CTF나 버그바운티 등 리얼 월드에 적용 가능한 기법 학습 모바일 앱 취약점 진단 가능 모바일 모의해킹의 이해 모바일 운영체제를 이해할 수 있다. 모바일 모의해킹을 통해 취약점을 식별할 수 있다. 모바일 보안 생태계 모바일 보안 아키텍처 및 구성요소 모바일 앱 서명, 샌드박스 및 프로비저닝 모바일 앱 및 파일시스템 다루는..

  • format_list_bulleted Security/Mobile
  • · 2023. 2. 18.
  • textsms
[SpringBoot3] Springboot 3.X에 Swagger 적용하기

[SpringBoot3] Springboot 3.X에 Swagger 적용하기

@Last Update 23.02.20 [개발환경] M2 OSX Ventura 13.0.1 SpringBoot 3.0.2 Gradle [개발도구] VS Code 1. springdoc-openapi(Swagger) 적용하기 spring boot프로젝트의 API 문서 생성을 자동으로 생성해 준다. springdoc-openapi는 실행 시 응용 프로그램을 검사해서 spring 구성, 클래스 구조 등 다양한 주석과 어노테이션을 기반으로 API 의미를 추론한다. 가장 많이 사용하는 Springfox Swagger를 사용하였으나 Spring버전이 맞지 않아서 인지 에러와 함께 404에러가 발생했다. Spring 2 에서는 localhost:8080/swagger-ui.html Spring 3에서는 localho..

  • format_list_bulleted DEV/SpringBoot
  • · 2023. 2. 15.
  • textsms
[AWS SAA-C03] AWS CloudFront 정리 1

[AWS SAA-C03] AWS CloudFront 정리 1

Cloud Front CloudFront는 정적, 동적 웹 또는 스트리밍 콘텐츠를 최종 사용자에게 배포하는 속도를 높이는 완벽한 관리형 고속 컨텐츠 전송 네트워크(CDN) 서비스이다. Edge Location 또는 PoP(Point of Presense)라고 불리는 전 세계적인 데이터 센터 네트워크를 통해 콘텐츠를 제공한다. 개발자 친화적인 환경에서 짧은 대기 시간과 높은 전송 속도로 전 세계 고객에게 데이터, 비디오, 애플리케이션 및 APi를 안전하게 제공한다. 각 사용자 요청을 콘텐츠를 가장 잘 처리할 수 있는 edge location으로 라우팅하여 가장 짧은 지연 시간을 제공함으로써 콘텐츠 배포속도를 높인다. AWS 백본 네트워크를 사용하여 사용자의 요청이 통과해야 하는 네트워크 홉(hop) 수를 ..

  • format_list_bulleted Security/Cloud Computing
  • · 2023. 2. 11.
  • textsms

[공지] 2022년 회고, 2023년 계획

들어가며 1년을 정리하고 새로운 한 해를 계획하는 일은 중요하다. 나를 가장 잘 아는건 나 자신이기 때문에 20대 중반을 넘어선 지금. 한번 되돌아보려 한다. 2022 회고 2021년 BOB이후로 이렇다할 연구 실적은 없다. 고등학교-학부연구생으로 이어지는 시점이 가장 많은 아웃풋을 낸 시기였던것 같다. 22년 가장 큰 수확이라면 관심있게 연구했던 보안 분야로 취업에 성공했고 짧은 경력에도 더해 이직까지 성공하였다. 출퇴근이 반복되는 현대인의 삶을 살며 연구를 하는 것이 쉬운 일은 아니었다. 이제는 많이 적응해서 페이스 조절까지는 가능해졌다. 일과 학습을 병행하시는 모든 분들을 존경한다. 2023 계획 관심분야 보안 관련 최신 동향들은 스크랩하며 F/U 하고 있다. 목록에만 담아두고 열어보지도 못한 글들..

  • format_list_bulleted 공지사항
  • · 2023. 2. 10.
  • textsms
[후기] 서울 근교 삽교호 & 아산 은행나무길 1박2일여행 다녀오기

[후기] 서울 근교 삽교호 & 아산 은행나무길 1박2일여행 다녀오기

들어가며 서울에서 한 시간 거리에 위치한 충남 당진에 위치한 삽교호에 다녀온 여행기이다. 가족단위 여행보다는 연인이나 친구와의 추억에 더 좋은 장소로 추천한다. 자차로 1시간 거리에 위치하기 때문에 당일치기로도 괜찮지만 서해 바다로 떨어지는 노을과 특유의 분위기를 즐기기 위해서는 이틀 일정으로 다녀오는 것도 좋다. 삽교호놀이동산 삽교호 자체도 좋지만 남자들끼리의 우정여행이었기 때문에 상남자의 놀이기구인 "관람차"가 있는 삽교호 놀이동산으로 목적지를 정했다. 사람이 너무 붐비지 않으면서, 너무 한가롭지 않은 장소로 적절하다. 바닷가 유원지답게 횟집과 포장마차 등도 많이 있었고 현장에서 바로 숙소도 구할 수있다. 삽교호는 2001년에 개장한 자그마한 충남 당진시 유일한 놀이공원이다. 그래도 있을 건 다있다...

  • format_list_bulleted Travel
  • · 2023. 2. 4.
  • textsms