세션고정 공격 로그인 인증 후에도 동일한 세션ID(식별자)를 사용할 경우, 공격자가 세션ID(ex. JSESSIONID)를 탈취하면 사용자명과 패스워드 없이 인증된 사용자의 세션을 사용할 수 있음 Spring Security의 세션고정 보호기능은 사용자가 인증된 후 명시적으로 새로운 세션을 생성하고, 기존 세션을 무효화할 수 있음 session-fixation-protection 속성 none() 세션 고정보호를 사용하지 않음 migrateSession() 사용자 인증 후 신규 세션 생성 시 기존 세션의 모든 속성이 새로운 세션으로 이동 newSession() 사용자 인증 후 신규 세션 생성 시 기존 세션의 몯ㄴ 속성은 새로운 세션으로 이동하지 않음 동시세션 관리 사용자가 동시에 고정된 수 (일반적으로는..
Spring Security WebSecurityConfigureAdapter를 상속받은 Config 클래스에 @EnableWebSecurity 어노테이션을 연결하면 SpringSecurityFilterChain이 자동으로 포함됨 #../configuration/SecurityConfig.java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { ... } WebSecurityConfigureAdapter 클래스는 Spring Security의 웹 보안 기능의 초기화 및 설정을 담당 HttpSecurity 클래스는 인증 및 인가 설정을 제공 WebSecurityConfigur..
https://docs.spring.io/spring-boot/docs/2.2.6.RELEASE/api/ https://spring.io/projects/spring-boot#learn https://docs.spring.io/spring-boot/docs/2.0.3.RELEASE/reference/htmlsingle/ Spring Boot Get support Spring Runtime offers support and binaries for OpenJDK™, Spring, and Apache Tomcat® in one simple subscription. Learn more spring.io 스프링 프로젝트 구조 - Src/main/java/[Default_Package]/Application.jav..
0. SpringBoot 진단 마이크로서비스의 발전에 따라 기존의 Spring Java개발에서 SpringBoot + JPA + Template을 통한 개발이 많아지고 있는 것 같다. 특히 AWS와 함께 사용이 더더욱 증가되고 있는 것으로 보인다. 우선 SpringBoot를 진단하게 될 경우, SpringBoot뿐만 아니라, JPA, Template에서의 키워드도 함께 검색해야 정적진단을 수행할 수 있을 것으로 보인다. ( 아직 AWS와 연관된 소스코드 취약점은 많이 알지 못하니, 이 부분은 향후 추가해야 겠다. ) 1. 파일 검색 build.gradle : 어플리케이션에서 사용하는 라이브러리 등을 확인 *properties : 각 설정값이 존재함, 불필요 설정존재 여부 확인, OAuth 인증값 등이 평..
- Total
- Today
- Yesterday