방문해 주셔서 감사합니다! 항상 행복하세요! - 문의사항은 메일 또는 댓글로 언제든 연락주세요. - "해줘","답 내놔" 같은 질문은 답변드리지 않습니다. - 메일주소 : lts06069@naver.com https4 ServerSocketChannel, SocketChannel read write 메소드 사용시 주의해야 할 점 Java에서 TCP 소켓 서버를 구현하기 위해 사용되는 클래스 중 ServerSocketChannel 클래스가 있습니다. 해당 클래스는 nio 패키지의 일부이며, 해당 클래스를 통해서 TCP 서버를 쉽게 구현 할 수 있습니다. 아래 샘플코드는 데이터를 받기 위해서 사용하는 프로세스의 일부분을 간략하게 표현한 코드입니다. read 메소드를 통해서 데이터를 받을 수 있습니다. import java.nio.channels.ServerSocketChannel; import java.nio.channels.SocketChannel; import java.nio.ByteBuffer; { ServerSocketChannel serverSocket = ServerSocketChannel.open(); while(ser.. 2022. 12. 15. 27. 데이터 평문전송(SN) 데이터 평문전송 취약점은 웹 어플리케이션 서버와 브라우저(클라이언트)간 통신 시 암호화 하여 전송을 하지 않아 중요 정보 등이 평문으로 전송되는 취약점입니다. 특히 개인 정보, 금융정보 같은 민감한 정보를 암호화하지 않고 평문으로 전송 처리하는 경우에 해커로부터 도청을 통해 정보를 쉽게 탈취 할 수 있기 때문에 중요정보는 반드시 평문으로 전송하지 말아야 겠습니다. #방법1 중요 정보에 대해서는 암호화, 복호화를 통해서 해당 정보를 알 수 없게 합니다. 암복호화의 대표적인 기능으로는 RSA 방식을 들 수 있으며, 단방향인 Sha 256 방식 또한 정보를 암호화하는 데 유용한 방법 입니다. 단방향인 Sha256 방식은 한번 암호화가 된 경우에는 해당 내용을 풀 수 없는 방식이므로 기능구현시 복호화가 필요한 .. 2021. 12. 10. 15. 세션 예측(SE) 세션 예측 취약점은, 단순히 숫자가 증가하는 방법이나 일정 패턴등을 활용하여 공격자가 세션의 ID를 예측하여 세션을 가로챌 수 있는 취약점 입니다. 브라우저와 서버는 세션과, 세션쿠키를 활용하여 서로의 정보를 일치시킵니다. 따라서 세션이름과 값을 공격자가 패턴을 분석하지 못하게 조치를 해야 합니다. #방법1 세션을 활용한 로그인 및 정보저장 기능에서는 세션 예측을 방지하기 위하여 어플리케인서버의 버전을 향상된 버전으로 업그레이드 할 필요가 있습니다. 가령 운용중인 서비스가 대표적 어플리케이션 서버인 톰캣을 사용하는데 버전이 3.0, 4.0인 경우 매우 취약하므로 이러한 어플리케이션 서버의 버전을 올려주는 것 입니다. #방법2 해커가 스크립트코드를 통하여 세션쿠키값을 가져가지 못하도록 세션쿠키에 옵션을 주.. 2021. 12. 7. 테스트용 SSL 톰캣 적용기 (SSL Tomcat, OpenSSL) 테스트용 SSL 인증서를 회사에 요청했는데...알아서 하세요(?)라는 대답이 돌아왔다. 이를 극복하기 위해 구글링하며 정리한 내용을 기록하여 보았다. 적용시킬 대상은 Tomcat 8.0 서버이다. 먼저 ssl을 만들기 위한 프로그램을 다운 받는다. OpenSSL이라는 훌륭한 프로그램을 사용하여 진행 할 예정이다. https://code.google.com/archive/p/openssl-for-windows/downloads 그럼 아래 단계에 맞추어서 천천히 진행하여 보자. 다운로드 받은 OpenSSL 압축을 풀어준다. 압축을 푼 이후에 bin 디렉토리로 이동하여 openssl.exe를 실행한다. 1. 개인키 , 공개키 만들기를 진행한다. 1) 개인키를 만든다. * genrsa -des3 -out 키이름.. 2019. 10. 14. 이전 1 다음
