일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
31 |
- Python
- Security
- SSH
- git
- mariaDB
- Spring
- mysql
- data
- DeepLearning
- interface
- Linux
- 자바
- framework
- error
- Github
- Pattern
- ai
- Analysis
- learning
- 함수
- 인공지능
- Server
- java
- db
- Deep
- LIST
- Web
- centos
- javascript
- Numpy
- Today
- Total
목록Security (6)
PostIT
# [Spring/CSRF] CSRF란 무엇인가?? CSRF(Cross site request forgery, 사이트간 요청 위조)란 웹 사이트의 취약점을 이용하여 사용자가 의도하지 않는 요청을 송신하도록 하는 공격의 의미합니다. 이는 http프로토콜의 상태없음(stateless) 특성에 기인한 특정 웹 어플리케이션에 대한 일련의 요청들의 상관관계를 특정할 수 없기 때문에 세션 유지등에 일반적으로 사용되는 쿠키 정보 등이 조건만 만족한다면 자동적으로 송신되기 때문에 가능합니다. 여기서 상관관계를 특정할 수 없다는 의미는 예를 들어 카트화면 -> 주문정보 입력 -> 주문완료로 이어지는 주문 프로세스를 가진 웹 어플리케이션에서 각각의 페이지에대한 요청이 연속적으로 이어지는지에 대한 제어를 할 수 없다는 것을..
https://okky.kr/article/382738 # 초보자가 이해하는 Spring Security (좋은 글)저의 스프링 시큐리티 관련 예제는 깃허브 에서 제공합니다. (주석이 포함된 프로젝트는 주석이 너무 지저분하여 제외...)1. 스프링 시큐리티란 무엇인가?스프링 시큐리티를 이해하기 위해서 스프링 시큐리티가 무엇인지를 알아야합니다. 스프링 시큐리티 레퍼런스에서는 자바 EE 기반의 엔터프라이즈 소프트웨어 애플리케이션을 위한 포괄적인 보안 서비스들을 제공하고 오픈 플랫폼이면서 자신만의 인증 매커니즘을 간단하게 만들 수 있다고 자랑(?)하고 있습니다.하지만, 신입 개발자들 수준에서 스프링 시큐리티와 같은 보안 기술을 이해하기란 참 힘든 과정이라고 생각합니다.저만 이해하기 힘들 수 있어요 ㅠㅠ스프링 ..
http://fruitdev.tistory.com/7 내가 리눅스를 세팅하고 제일 먼저 하는일 중에 하나가 원격지에서 root 계정으로 로그인 하는것을 막는것이다. 기본적인 ssh 설정에서는 root 로그인이 허용상태로 되어 있다. 로컬에서야 상관없지만, 원격 로그인을 할때 root 계정으로의 로그인을 허용하면 보안상에 문제가 발생한다. 이유는 해커등이 악의적인 목적으로 해당 서버에 root 계정으로 ssh 접속을 시도할 수 있기 때문이다. 또, 서버 보안감사중에 가장 기본적으로 검사하는 항목이기도 해서 리눅스를 설치할때면 빠짐없이 설정을 변경하려고 노력한다. 아래는 서버에서 root 계정으로 ssh 로그인을 제한하는 방법이다. 1. ssh 설정에 접근한다. [root@localhost ~]# vi /e..
http://www.popit.kr/견고한-서비스를-만들기-위한-팁/ ================================================새로운 개발팀에 합류하여 서비스 개발, 운영을 한지 벌써 1년이 넘었습니다. 이 번글에서는 그동안 빅데이터 플랫폼 엔지니어로 활동을 하다가 서비스 개발/운영 업무를 하면서 느꼈던 내용을 정리해보려고 합니다. 이 글은 초기 몇 개월 지났을 때 대충 윤곽을 잡았던 글인데 그 동안 미루다가 시간이 내어 다시 정리합니다. 그러다 보니 초기에 느낀 내용하고, 시간이 조금 지난 이 시점에서의 느낌은 조금 다르긴 하네요.현재 필자가 운영하고 있는 서비스는 2개국에 서비스를 운영하고 있으며 2개국 모두 해당 분야에서 1위 트래픽을 유지하고 있는 서비스입니다. Rub..
http://niees.tistory.com/17spring security에서는 (내부 정책에 따라 다르겠지만)중복로그인 방지를 위한 방안을 마련해 두었다. 1.web.xml에 listener등록 (이 부분은 지정을 해야한다는 예제가 많았는데 테스트 해보니 3.1.0.RELEASE 에서는 등록 하지 않아도 상관이 없었다 자세한 내막은 나도 모름)?123 org.springframework.security.web.session.HttpSessionEventPublisher 2.security-context.xml에 세션 제한 지정에?123 invalid-session-url : 세션이 끊겼을때 이동 할 페이지max-sessions="1" : 최대 허용 가능 세션 수expired-url="/user/l..
http://d2.naver.com/helloworld/318732안전한 패스워드 저장2013.03.25|84195"보안 시스템은 가장 약한 연결 고리만큼만 강하다."보안 시스템은 여러 부분으로 이뤄집니다. 공격자(attacker)는 이 중에서 가장 취약한 부분을 공격할 것이라고 가정해야 합니다. 보안 시스템이라는 사슬에서 가장 약한 고리가 끊어지면 다른 고리가 얼마나 강한지는 문제가 되지 않습니다. 즉, 보안 시스템의 안정성은 '강한 부분이 얼마나 강한가'보다는 '약한 부분이 얼마나 약한가'에 따라서 좌우됩니다.지난해 6월 세계 최대 비즈니스 전문 소셜 네트워크 서비스(SNS) LinkedIn은 사용자 데이터 해킹 사고로 650만 명의 아이디와 패스워드 정보가 유출된 후 집단 소송을 당했습니다. 취약한..