'개발자 일기' 시리즈개발자의 일상 #14

바쁘다 많이바쁘다,,
솔직히 너무 바쁘다 미칠것 같다.

입사 4~5개월동안 한일 = 기능 수정 25건 페이지 개발 3건
단순 업무 (기능 수정 및 페이지 개발 제외) = 월 평균 100건 2월 ~ 6월 총 700건
웹 접근성 홈페이지 40개
웹 최적화 홈페이지 10개
웹 호환성 홈페이지 10개 > 30개 추가적으로 더하고 있음
웹 취약점 홈페이지 총 21개 중 일주일만에 20개 컷해버림 (존나대단해..)

최근 작업한 내용들

web.xml 에 security-constraint가 http-method 정보 누출에 방지를 준다.
아무거나 넣으면 ㅈ된다.... 아무거나 막넣으면
이런게 나온다... 에휴,, 1300개 홈페이지에 이게나왔다 ...ㅋㅋㅋㅋ http-method를 지정해줄때 잘 생각해서 지정해주자
메소드 하나하나에 영혼이 담겨있어야 함을 깨달아야함



놀랍게도 우리 운영홈페이지는 취약점이 하나도 적용이 안되어있다.
작년에도 조치해달라고했는데 전임자가 런해버린것이다.
하긴 if(i>15){if(i>3){값}} 이런거 짜고 왜안되는지도 몰랐으니 그럴만하다.

약한 문자열 강도 > 아이디 중복 체크 시 사용중의 여부를 표시하면 안된다. 더군다나 admin 같은건,,
크로스사이트 스크립트> 이건 다들 아시겠지만, script나 form 태그 사용하면안된다
내가 버튼하나 만들어놓고 거기에 아이디 비밀번호 빼가는 스크립트를 작성하면 어찌될지,,
불충분한 인증 > 마이페이지 들어가기전에 비밀번호로 본인인증을 해야한다. 그래서 페이지 새로하나 만듬

불충분한 인가 > 보통 값들을 param으로 넘기는데 (java, jsp에서) session값으로 넘겨야한다
변조되면 다른아이디도 비밀번호 바꾸는거 가능
세션 만료 시간 > 보통 web.xml에서 설정해주는데 서버에서도 설정 가능
데이터 평문 전송 > SSL보안쓰면 상관없는데 안쓰면 큰일난다. 내가 비밀번호 입력한게 전부 jsp>java로 넘어가는 사이에 큰일날수도 있다. 그래서 나는 jsp > RSA 암호화 > java로 넘겨서 복호화 하였따
프로세스 검증 누락 > 이건 진짜 신기한건데 script같은 jqeury들이 실행이 안되는 것들이 있음
그래서 비밀번호 복잡도 검사를 jsp에서 해주면안되고 JAVA에서 해야한다.
값을 받아와서 복잡도 검사 틀리면 false 등등;;
쿠키 변조 > 컬럼값 하나 추가해서 내가 여기에서 로그인 중일때 ip랑 다른 ip랑 비교해야한다.
틀리면 로그아웃 처리


사실 그냥 뭐 취약점에 관한 내용들 간단히 적은거니까 100%신뢰하시지마시고 이런 방법들도 잇다라는걸 보여주고 싶었다.


1년전에 나는 spring이 뭔지도 몰랐는데 1년만에 이런것까지 하고있다니,,,
실화냐..? 발전이 빠른건가 싶다.


나는 주위에 몇몇을 동경할 정도로 멋잇어보이는데 그사람들은 스스로가 많이 부족한가보다
내가 우물안의 개구리인걸까 그런 자괴감이 들긴하지만,,
그래도 1년만에 몇발자국이상을 나아간 내 스스로에게 대견함을 느낀다


그리고 상사가 성추행하는거, 직급으로 갈구는거 꼬지름 ㅅㄱ ㅋㅋ


'개발자 일기' 시리즈
그냥 개발자로써의 현실적인 삶을 적어놓음
작성된 댓글이 없습니다!
로그인된 사용자만 댓글을 작성할 수 있습니다.