CSA (Cloud Security Alliance) 대표 보안위협 데이터 유출 : 개인정보나 금융정보를 저장하는 데이터베이스나 스토리지가 외부에 직접 노출되거나 어플리케이션 취약점으로 공격받아 노출 Public Storage에 중요정보, 세션정보, 개인정보, 중요정보 저장 Private Storage에 평문으로 중요/개인/민감 정보등을 저장 인증키 등의 인증정보가 하드코딩으로 작성되어 노출 불충분한 ID, 자격증명 및 접근관리 : 중요권한을 가진 사용자, 운영자의 계정을 공유하거나 쉬운 패스워드 사용, 패스워드 노출 등으로 인해 무단 접속을 허용 어플리케이션이 사용하는 클라우드 모듈이 보안그룹으로 관리되지 않는 경우 관리자 권한의 계정/인증키 등을 어플리케이션에서 직접 사용하는 경우 특정 권한 또는 중..
https://docs.spring.io/spring-boot/docs/2.2.6.RELEASE/api/ https://spring.io/projects/spring-boot#learn https://docs.spring.io/spring-boot/docs/2.0.3.RELEASE/reference/htmlsingle/ Spring Boot Get support Spring Runtime offers support and binaries for OpenJDK™, Spring, and Apache Tomcat® in one simple subscription. Learn more spring.io 스프링 프로젝트 구조 - Src/main/java/[Default_Package]/Application.jav..
0. SpringBoot 진단 마이크로서비스의 발전에 따라 기존의 Spring Java개발에서 SpringBoot + JPA + Template을 통한 개발이 많아지고 있는 것 같다. 특히 AWS와 함께 사용이 더더욱 증가되고 있는 것으로 보인다. 우선 SpringBoot를 진단하게 될 경우, SpringBoot뿐만 아니라, JPA, Template에서의 키워드도 함께 검색해야 정적진단을 수행할 수 있을 것으로 보인다. ( 아직 AWS와 연관된 소스코드 취약점은 많이 알지 못하니, 이 부분은 향후 추가해야 겠다. ) 1. 파일 검색 build.gradle : 어플리케이션에서 사용하는 라이브러리 등을 확인 *properties : 각 설정값이 존재함, 불필요 설정존재 여부 확인, OAuth 인증값 등이 평..
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
- Total
- Today
- Yesterday