Web Development/Web Vulnerability3 세션 고정 고정된 세션아이디값을 사용하는 취약점으로 세션아이디를 이용하여 우회접근이 가능할수 있음 ->로그인시 로그인 전 기존 세션아이디는 패기하고 새로운 세션아이디 발급 JAVA코드 1234session.invalidate(); //기존 세션 만료 session = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest().getSession(true);//새로운 새션 생성Colored by Color Scriptercs 2020. 12. 15. ARIA 암호화모듈 이용한 구간 암호화 ARIA는 국내서 개발한 대칭키 암호화 기법이다. 암호화를 구현하기위한 파일 다운로드 - 전자정부프레임워크 홈페이지에서 egovframework.rte.fdl.crypto-?.?.?.jar 파일 다운로드 - jasypt-?.?.?.jar 파일 다운로드 소스작성 - context 설정 1234567891011121314151617181920212223242526272829 Colored by Color Scriptercs - 암호화 123456789101112131415161718192021import egovframework.rte.fdl.cryptography.EgovCryptoService;import egovframework.rte.fdl.cryptography.EgovPasswordEncoder;.. 2019. 6. 27. 웹취약점 대비 톰캣 에러페이지 설정 페이지가 경로가 잘못되거나, 익셉션 등 오류가 나면 브라우저 화면에 해당 서버의 정보가 나타난다 해당 WAS나 웹서버의 정보를 숨기기 위해 에러페이지를 지정해줘야 한다. 해당 서버의 web.xml 파일에 에러페이지를 등록만 해주면 된다. 500 /error.jsp 404 /error.jsp 요런식으로 해주면 404에러나 505에러가 뜨면 해당 에러페이지로 이동하게 된다. 2017. 6. 16. 이전 1 다음