뎁엠마

보안 취약점 결과가 나왔는데클릭재킹 공격 항목에 걸렸다 Clickjacking 공격?? ???사용자가 웹사이트 화면을 보고 있다고 착각하게 만든 뒤,사실은 투명한 iframe 같은 곳에서 악성 페이지 클릭하게 유도하는 공격. (예를 들어외부 사이트가 우리 사이트 화면을 iframe에 몰래 띄우고,투명 버튼을 올려놔서 사용자가 본인도 모르게 그 투명 버튼을 클릭하게 유도함) 취약점 설명 이용자가 자신이 클릭하고 있다고 인지하는 것과 다르게 공격자가 의도하는 것을 이용자가 감춰진 링크를 클릭하게 속이는 악의적인 공격 방법이다. 잠재적으로 공 격자는 비밀 정보를 유출하거나 그들의 컴퓨터에 대한 제어를 획득할 수 있다. 양호기준외부 객체를 통해 해당 사이트가 참조되지 않는 경우 취약기준외부 객체를 통해..

네니오지금 할게욥 build.gradle에 의존성 추가해주고 implementation 'org.springframework.boot:spring-boot-starter-actuator' application.yml도 작성management: server: base-path: /actuator endpoints: web: exposure: include: health, info endpoint: health: show-details: always 엄청 간단한게 안됐었던 이유는화이트 리스트에 넣는것을 깜빡했슴,, 첨에 실행할때 로컬에서도 잘 뜨구 컨테이너에 올렷을 때도 잘 뜬당 curl 날려서 확인해보..

민감한 개인정보를 DB에 암호화해서 저장하기 위해서NCP decrypt API를 사용했다. 암호화랑 복호화가 모두 서버측에서 수행하는 형식이라사용자는 데이터를 보내기만 하면 된다 encrypt : 평문 데이터를 API로 보내면 지정된 키로 ncp가 암호화해서 암호화된 데이터를 반환해줌decrypt : 암호문을 API로 보내면 내부 키로 복호화 후 평문을 반환해줌 시그니처생성 참고 https://dev-emma-dev.tistory.com/281 [ NCP API ] encrypt / decrypt, signature 생성 예시 코드NCP (Naver Cloud Platform) API를 사용하려면요청 인증을 하기 위해서 서명이 필요한데 HMAC-SHA256를 기반으로한 시그니처를 사용한다. (이..

다른 글들에서 내용은 이미 설명했고,실제로 사용한 코드! public String encrypt(String plainText) throws Exception { String timestamp = String.valueOf(System.currentTimeMillis()); String urlPath = "/keys/v2/" + keyTag + "/encrypt"; String signature = generateSignature(timestamp, urlPath); String base64PlainText = Base64.getEncoder().encodeToString(plainText.getBytes(StandardCharsets.UTF_8)); Map requestBo..

NCP (Naver Cloud Platform) API를 사용하려면요청 인증을 하기 위해서 서명이 필요한데 HMAC-SHA256를 기반으로한 시그니처를 사용한다. (이외에도 매번 accesskey, secretkey, timestamp 도 요구함) 이 중 아래 메서드에서 생성할 signature는 서버가 위조나 변조 없이 API를 정상적으로 요청되었는지검증하는 용도 public String generateSignature(String timestamp, String url) throws Exception { String method = "POST"; String space = " "; String newLine = "\n"; Strin..

2차 인증으로 Google Authenticator를 사용하겠다고해서 QR생성하고 테스트한 내용을 전에 포스팅했는데NCP SENS API 사용해서 sms로 인증하는 방식을 사용하게되었다 참고 공식 링크SMS API ncp에서엑세스키, 시크릿키, 서비스 ID 를 ncp콘솔에서 발급받고,발신 번호도 등록해야한다 이런것들은 application.yml에 넣어놓고주입받아서 (@Value) 사용함 딱히 신경쓸건없고 저기 저 시그니처 생성하는게현재 시간(timestamp)이랑 method, url, accesskey, secretkey를 가지고조합해서 만드는것임 코드 참고하세용 public void sendSms(String recipientPhone, String code) throws Exc..

관리자 모드로 로그인 할 때 2차 인증을 하는 기능 추가가 필요했다 여러가지 방법이 있고,그 중Google Authenticator을 사용하기로함 후딱 끝날거라고 생각했는데 ㅋ삽질 엄청나게함구현한거랑 뭐땜에 글케 삽질했는지 적어보겠음 삽질 1. google QR코드 자동으로 생성해주는 API가 지원이 종료됐다는데 이걸 모르고내내 그 API를 쓰려고해서 QR이 안만들어졌다ㅠ 계속 이미지 에러가 떠서..여차저차 찾다보니 API지원이 끝난걸알았고구글링하면서 다른사람들이 qr생성하는 코드를 찾게되어서참고해서 만들어봄 package com.example.demo.controller;import com.example.demo.service.TotpService;import org.sp..

1. 키보드에 'Windows' 키 + 'r' 키 => 좌측 하단에 '실행' 차이 열림2. '실행' 창 '열기' 란에 mstsc /admin 입력 => '원격 데스크톱 연결' 창이 열림3. 접속 정보 입력 이거 쓰게 된 이유: 쩐에 포스팅 한 적이 있는 OS 세팅한 원격 데스크탑용 PC에 알약을 설치해야함.나는 가지고 있는 알약 제품키 정보가 없어서 경영지원팀에 설치를 요청드림접속정보 드리고 설치만 부탁드렸는데 오마갓 상상치못한 전개 업데이트 중이라 연결이 안됐구나 했는데IP정보를 드린건디ㅠ 브라우저로 접속하실 줄은 몰랐다,, 내려가실거면 제가 왜 때문에 원격 세팅해둔건데오ㅠfeat. 개발자들은 똑같이 말해도 찰떡같이 알아들었었다고오,, 친절하지 몬햇다 ..

작년에 했던 프로젝트인데 2차 개발이 들어간다고해서꺼내서 여기 저기 보다가 정리해보기~!   Helm 차트를 사용하여 애플리케이션을 배포하고, ArgoCD를 통해 GitOps 방식으로 자동 배포를 관리하는 스크립트파일 한 줄 씩 자세한 설명, ,,       echo 'Create ***-backend yaml' 터미널에 "Create ***-backend yaml" 라는 메세지를 출력해어떤 역할을 하는 스크립트인지 구분하기위함.  cat > back-end.yaml  back-end.yaml 이라는 파일을 생성하고 그 파일 내용들을 작성하는 것 apiVersion: argoproj.io/v1alpha1 ArgoCD에서 사용하는 API버전 지정.( argoproj.io/v1alpha1는 ArgoCD Ap..

이런걸 포스팅하게될 줄은 몰랐지만일단 써보도록할게욥  개발자 n년차로 지내면서직업 관련해서 주변에서 제일 많이 듣는 질문노트북 뭐 사야돼? 이고항상 내 대답은 가볍고 비싼거ㅋ OS없는거 사서 1-20만원이라도 절약해보십사 적어봄     내가 설치하게 된 이유는 최근 자리를 옮김그래서 이전에 있던 층과 원격 데스크톱 기능을 사용하면 편하겟져? 뮤튼 그래서 경영지원팀에서원격용으로 쓸 누군가 예전에 쓰던 흔적이 몹시 역력한헌 노트북을 하나 받음 ㅋㅋㅋ ㅋㅋㅋㅋㅋ  굉장히 낡은 외관과 달리 Windows11을 사용중인 노트북,, 원격 데스크탑 기능을 지원하지 않음  그래서 가지고 있던 windows10 USB를 가지고 내가 세팅을 하게되었당(나 요즘 일 없었는데 일 생겨서 신남 킈킈킈)    설치할 OS가 담긴..