전체 글 (237) 썸네일형 리스트형 Gradle과 Maven을 IntelliJ IDEA에 설정하는 법 목표 Gradle과 Maven을 IntelliJ IDEA에 설정하는 법을 배워봅시다. Gradle은 Groovy 기반의 빌드 도구로, Java 프로젝트의 빌드와 의존성 관리를 지원합니다. Maven은 XML 기반의 빌드 도구로, Java 프로젝트의 빌드와 의존성 관리를 지원합니다. 필요한 tools IntelliJ IDEA: Java 개발용 통합 개발 환경 Gradle: Gradle 빌드 도구 (설치가 필요한 경우) Maven: Maven 빌드 도구 (설치가 필요한 경우) Gradle 설정 IntelliJ IDEA를 엽니다. 프로젝트 창에서 프로젝트를 마우스 오른쪽 버튼으로 클릭하고 "Open Module Settings"를 선택합니다. "Project Settings" 대화상자에서 왼쪽 패널에서 "Pr.. 사이버 보안: SSRF 란 정의 SSRF(Server Side Request Forgery)는 서버 측 요청 위조를 의미하는 웹 보안 취약점입니다. 이 취약점은 공격자가 목표 서버로부터 다른 내부 또는 외부 리소스로 요청을 보낼 수 있게 해주는 것을 의미합니다. SSRF를 통해 공격자는 서버의 제한이나 보안 조치를 우회하여 악의적인 요청을 보낼 수 있습니다. 하지만 실무에서는 SSRF 취약점이 발생할 수 있는 위험한 상황이 많지 않습니다. URL을 파라미터로 전달받는 경우가 거의 없기 떄문입니다. 취약점 발생 지점 리스트 SSRF 취약점은 주로 입력 유효성 검사가 부족하거나, 신뢰할 수 없는 사용자 입력을 처리하는 기능에서 발생합니다. 서버가 외부 리소스에 액세스해야 하는 기능을 갖춘 웹 애플리케이션에서 특히 취약성이 높습니다. .. SSRF 공격기법 리스트 공격 예제 1 import requests def ssrf_attack(url): response = requests.get(url) return response.text # 공격자가 조작 가능한 URL target_url = "" # SSRF 요청 전송 result = ssrf_attack(target_url) # 응답 출력 print(result) 이 예제에서는 requests 라이브러리를 사용하여 공격자가 조작 가능한 target_url로부터 HTTP GET 요청을 보내는 ssrf_attack() 함수가 정의되어 있습니다. 이를 통해 공격자는 취약한 웹사이트의 SSRF 취약점을 이용하여 내부 리소스에 액세스하고 응답을 받을 수 있습니다. 공격 예제 2 import requests def steal_.. mysql 기초 명령어 정리 정의 MySQL 명령어는 데이터베이스 관리 시스템인 MySQL에서 데이터베이스, 테이블, 레코드 등을 관리하기 위해 사용되는 명령어입니다. 종류 MySQL 명령어는 다음과 같이 종류로 나눌 수 있습니다: DDL (Data Definition Language): 데이터베이스, 테이블 등의 구조를 정의하고 조작하는 명령어입니다. DML (Data Manipulation Language): 데이터를 삽입, 조회, 수정, 삭제하는 명령어입니다. DCL (Data Control Language): 데이터베이스 사용자 및 권한 관리를 위한 명령어입니다. TCL (Transaction Control Language): 트랜잭션 관리를 위한 명령어입니다. DQL (Data Query Language): 데이터 조회를 .. 사이버 보안: 사회공학기법이란? 정의 사람들의 신뢰나 무지, 또는 인간의 사회적 행동을 이용하여 정보를 획득하거나 인간을 속이는 기법입니다. 예제 피싱 (Phishing) 피싱은 사회공학의 가장 일반적인 형태 중 하나입니다. 공격자는 전자 메일, 메시지, 또는 소셜 미디어와 같은 수단을 사용하여 사람들을 속여 개인 정보를 빼내거나 악성 소프트웨어를 설치하도록 유도합니다. 예를 들어, 은행에서 온 것처럼 위장한 이메일을 통해 사용자의 로그인 정보를 요구하거나, 신뢰할 수 있는 기관으로 위장한 링크를 제공하여 사용자로 하여금 개인 정보를 입력하게 합니다. 소셜 엔지니어링 (Social Engineering) 소셜 엔지니어링은 공격자가 사람들과의 상호 작용을 통해 정보를 얻거나 특정 동작을 수행하도록 유도하는 기법입니다. 예를 들어, 공격자.. XSS 공격기법 리스트 Stored XSS 악의적인 스크립트 코드가 서버에 저장되고, 사용자에게 노출되는 웹 애플리케이션에서 발생하는 취약점입니다. 이러한 취약점을 이용하면, 공격자는 웹 페이지에서 스크립트를 실행하고 사용자의 브라우저에서 실행되게 할 수 있습니다. 악의적인 스크립트를 게시물 또는 댓글에 삽입할 수 있고, 이를 통해 공격자는 사용자들의 세션 쿠키를 도용하거나 악성 행동을 수행할 수 있습니다. 공격자의 특정인, 기록, 흔적이 남는 대신, 대규모로 광역 공격이 가능합니다. 예제 사용자들이 메시지를 작성하고 공유할 수 있는 웹사이트의 게시판을 생각해봅시다. 사용자가 메시지에 스크립트 코드를 삽입하면, 이를 저장하고 페이지를 로드할 때 모든 사용자에게 노출시킵니다. 안녕하세요 이 스크립트가 저장되면, 모든 사용자가 해.. http URL의 구조 URI 구조 URI는 일반적으로 아래의 형식에 따라 선택적으로 사용됩니다. Scheme://Username:Password@Host:Port/Path?Query#Fragment 이름 예제 분리기호 설명 스킵 가능 여부 Scheme http :// or : 어떤 프로토콜을 사용하여 리소스를 요청할지를 의미합니다. 웹인 경우 http, https를 사용하며, ftp, file 등의 프로토콜을 사용하기도 합니다. 아니오 Username username : URL의 권한 부분 중 사용자 이름으로, 리소스에 접근하기 위한 사용자 이름을 나타냅니다. 예 Password password : URL의 권한 부분 중 비밀번호로, 리소스에 접근하기 위한 비밀번호를 나타냅니다. 예 Host www.example.com / .. 웹 개발: 식별과 인증이란 식별 많은 데이터 중 특정 데이터를 구분하는 작업으로, 시스템이 식별할 수 있도록 ID와 같은 고유값이 필요하다. 인증 사용자의 신분을 확인하는 절차 인증과 식별을 동시에 하는 경우 SQL 실행 한 번에 식별과 인증을 동시에 처리하는 것을 의미한다. 뒤쪽을 주석처리해서 공격 select * from member where id=’$_id’ and pas=’$_pass’; 인증과 식별을 분리해서 하는 경우 인증 분리란 ID 값으로 식별 과정을 거친 후, DB의 PW와 사용자가 입력한 PW 값이 일치하는지로 인증 과정을 거친다. union sql injection select pass from member where id=’$_id’ 결론 사용자의 인증과 식별을 하는 방식자체는 별로 중요하지 않음. 중요한 .. 이전 1 ··· 7 8 9 10 11 12 13 ··· 30 다음
