BurpSuite를 최신 버전으로 설치하는데 오류가 났다. Java 버전이 문제여서 Java 9 이상을 설치하니 해결할 수 있었다.

안드로이드 어플리케이션 취약점 진단을 할 때`Burp Suite를 주로 사용한다. 안드로이드 기기에서 Burp Suite를 사용하여 패킷을 잡아보는 방법은 다음과 같다.

Apache Tomcat에서는 Error를 유발했더니 서버 버전 정보가 노출되었다. Error 페이지에서 출력되는 버전 정보를 숨기는 방법은 아래와 같다.

웹 취약점 진단 항목 중에 서버 버전 및 정보의 노출을 확인하는 것이 있다. OWASP에서는 Fingerprint Web Server라고 명시하며, 노출 된 웹 서버의 버전이나 정보를 통해 공격자가 공격을 위한 힌트를 얻을 수 있기 때문에 노출을 자제하도록 권고한다.

AWS에는 S3(Simple Storage Service)라는 저장소가 존재한다. S3에서는 데이터를 저장하기 위한 기본 컨테이너를 bucket라고 부르는데, 이 bucket에 Referer를 통한 접근제어 정책을 설정 해 특정 도메인에서만 접근할 수 있도록 하는 방법을 정리한다.

많은 기업들에서 Secure Coding을 위해 정적 코드 분석 툴을 사용한다. SonarQube는 그 중 하나인데, 커뮤니티 버전이 있어 무료로 사용할 수 있기에 설치 해 테스트 해 보았다.

얼마 전 컴퓨터를 포맷했는데, 포맷 한 뒤로 Vmware에 Windows를 설치하려고 하면 자꾸 Time out 오류가 난다.

일단 오류 상황은 아래와 같다.

AWS에는 AWS CLI(Command Line Interface)가 있어 로컬에서 S3 bucket를 동기화하여 사용할 수 있으며, ls, rm, cp와 같은 리눅스 명령어를 사용할 수 있다.
기본적인 사용방법은 다음과 같다.

많은 곳에서 Spring을 가지고 웹 개발을 한다고 한다. 나는 웹 개발은 PHP나 JSP, 그것도 거의 학교 과제 수준밖에 안해봤기 때문에 Spring은 전혀 모른다. 근데 구조 등을 알면 일할 때 편하지 않을까 싶어 게시판을 만들어 보려고 한다. 오늘은 게시판을 만들기 위하여 Spring을 구축하는 방법을 정리한다.

XSS는 수 년간 OWASP Top 10에서 사라지지 않는 취약점 중 하나이다. XSS의 주된 공격 타겟은 바로 Session Cookies 탈취라고 한다. 그래서 오늘은 이에 대응할 수 있는 Secure 와 HttpOnly 옵션에 대해 정리하려 한다.