토마의 엔지니어링 노트

안녕하세요. 오늘은 업무를 하던 도중에 웹 보안진단 중 웹 취약점이 발견되어서 그 발견된 취약점 중 XSS와 CSRF에 대한 내용을 기록으로 남기려고 합니다. 저 뿐만 아니라 저와 같이 모르셨거나 잠시 잊어버리신 분들은 참고할 만한 글이 되었으면 하는 점에서 포스팅을 진행하려고 합니다. XSS(Cross-Site Scripting) 크로스 사이트 스크립팅(사이트 간 스크립팅)은 가장 기초적인 취약점 공격 방법 중에 하나이며, 다른 목적을 품은 악의적인 사용자가 공격하려는 사이트에 스크립트를 집어 넣어 공격하는 방법을 얘기합니다. 주로 다른 웹사이트들과의 통신(정보 교환) 하는 식으로 작동하기에 “사이트 간 스트립팅”이라고 부르고 있습니다. 이 XSS 취약점은 웹 어플리케이션 사용자로 부터 입력받은 값을 ..

안녕하세요. 오랜만에 글을 작성하게 됩니다. 오늘은 정적 분석 도구를 찾다가 오픈소스로 되어진 도구들 중에서 PMD에 대해서 간략하게 소개하고, 간단하게 사용하는 방법에 대해서 작성하려고합니다. 이러한 정적 분석 도구를 통해서 소스코드 또는 애플리케이션의 보안 취약점, 불필요한 소스 정보 등을 알 수 있으므로 필요 시 사용하는 것도 좋아 보여, 공유하게 되었습니다. (출처 : https://pmd.github.io/) PMD란? PMD(Programming Mistake Detector)는 응용 프로그램 코드에서 발견 된 문제를 보고 하는 오픈 소스 정적 Java 소스 코드 분석기 입니다. PMD에는 기본 제공 규칙 세트가 포함되어 있으며 사용자 지정 규칙을 작성할 수 있습니다. (PMD는 올바른 형식의..