SI Supply Depot

2021년 Top 10 안에 3개의 새로운 카테고리가 등장했고, 이름 변경 및 통합이 이루어졌다. 그걸 이어받아 2022년에 업데이트된 주의해야 할 주요 보안 취약점은 다음과 같다. (크게 4년에 한번씩 바뀌고 매년 조금씩 업데이트 되는 구조라고 이해하면 된다. 잘 나온 원문을 번역 돌렸으니 이해를..) THE OWASP TOP 10 LIST 2022 1. Broken Access Control 액세스 제어는 사용자가 지정된 권한의 범위를 넘어서는 작업을 수행하지 못하도록 하는 전략을 구현합니다. 액세스 취약성 때문에 인증되지 않았거나 원하지 않는 사용자가 분류된 데이터 및 프로세스 및 사용자 권한 설정에 액세스할 수 있습니다. 예를 들면 JWT(JSON Web Token) 액세스 제어 토큰을 사용하여 ..

Spring을 처음 본게 2.5 버전인가 그랬는데 어느덧 6.0이 나온다고 한다. 2.5일때는 모든걸 XML으로 설정하곤 했었는데 6.0에서는 이 XML을 아마 지원하지 않을것 같다. 10년만에 참 많은 부분이 바뀐듯 하다. 출시일 2021년 12월 6.0 M1(milestone) 버전을 공개했다. 그리고 2022년 7월에는 RC1(release candidate) 버전을 출시하고 대망의 GA(general availability) 버전은 2022년 10월에 출시된다고 한다. 또 공부해야할게 늘고... migration 해야 할일도 생기겠지... 변경점 (5.3 vs 6.0) 5.3 버전에서 6.0 버전으로 갈때 변경된다고 한 점은 다음과 같다. Java 17 based on XML 구성 형식은 지원이 ..

@ConditionalOnProperty 은 단어 그대로 Property의 조건에 따라 작동 하는 bean 이다. 꼭 bean이어야 한다. 예를 들면 우리가 많이 사용하는 StereoType(@Controller, @Service..)은 그것 자체로 bean이어서 이 하위 요소(method level)에 @ConditionalOnProperty 를 붙이면 동작하지 않는다. 사용법 Property란 무엇이냐? Spring 사용시 application.properties나 application.yml에 정의해서 사용하는 값들을 말한다. 예를 들면 이런 application.yml 이 있다. my: fruit: banana my.fruit 이 어떤거냐에 따라서 다른 bean을 생성하고자한다. my.fruit ..

log4j 이슈에 이어 Spring Framework도 보안 이슈가 생겼다. KISA 인터넷 보호나라&KrCERT KISA 인터넷 보호나라&KrCERT www.boho.or.kr 여기에 주된 내용은 써있고 요약을 하자면 이렇다. o Spring Core에서 발생하는 원격코드실행 취약점(CVE-2022-22965) o Spring Cloud Function에서 발생하는 원격코드실행 취약점 (CVE-2022-22963) log4j와 같이 원격코드실행 부분에 문제가 있다고 한다. 어제만해도 Spring Core에서 발생하는 원격코드실행 취약점에 대한 부분은 조치사항이 없다고 보면 되었지만 발빠르게 Spring쪽에서 패치를 내 주었다. Releases · spring-projects/spring-framewor..

바로 어제 Spring4Shell 이라는 보안을 위협하는 것이 검출이 되었고 바로 패치가 나온듯 하다. 바로 spring framework의 5.3.18로 변경을 하는건데 아직 이건 maven central repo에는 안올라왔다. 곧 올라오겠지.. 그래도 5.3.18이 나왔을때 바로 적용을 하려면 springboot를 사용하면서 spring의 버전만 변경하는 방법에 대해 알아야 한다. 필자는 maven을 사용중이고 변경방법도 maven 기준으로 작성하겠다. pom.xml 5.3.18 위와 같이 pom.xml의 properties 부분에 spring-framework.version 으로 spring의 버전을 변경할 수 있다. org.springframework-version, spring.version ..

앞서 CLI로 vue 프로젝트를 생성하는 법을 살펴보았다. [Vue.js] #2. 기본 프로젝트 생성 및 실행하기 앞서 Vue.js 를 실행하기 위한 환경을 구성해봤다. [Vue.js] #1. 개발환경 구성하기 Vue.js 로 프로젝트를 진행하려 한다. 일단 가장 먼저 해야할일은 개발환경을 구성하는것이다. 그중에서도 가장 먼 oingdaddy.tistory.com CLI가 익숙하지 않다면 GUI 환경에서도 프로젝트를 생성할 수 있도록 Vue Project Manager를 제공한다. Vue Project Manager 실행 > vue ui 터미널에서 이렇게 명령어를 수행해본다. 그럼 GUI가 시작된다고 나오고 localhost:8000 으로 접근할 수 있다고 한다. 접속해보자. 앞서 CLI를 통해 생성한 ..

앞서 Vue.js 를 실행하기 위한 환경을 구성해봤다. [Vue.js] #1. 개발환경 구성하기 Vue.js 로 프로젝트를 진행하려 한다. 일단 가장 먼저 해야할일은 개발환경을 구성하는것이다. 그중에서도 가장 먼저 할일은 VSCode를 설치하는 방법이다. 설치 방법은 다음 글을 참조하도록 하자. oingdaddy.tistory.com 이어서 가장 간단하게 Vue 프로젝트를 만들고 실행해 보는 예제에 대해 다뤄보겠다. Vue 프로젝트 생성 터미널을 열고 workspace로 사용할 폴더에 들어가서 다음과 같은 명령어로 프로젝트를 생성한다. > vue create oing-vue-project 그러면 위와 같은 선택화면이 나온다. Vue 3 버전으로 진행을 할것이기 때문에 Vue 3을 선택하고(키보드로 선택 ..

Vue.js 로 프로젝트를 진행하려 한다. 일단 가장 먼저 해야할일은 개발환경을 구성하는것이다. 그중에서도 가장 먼저 할일은 VSCode를 설치하는 방법이다. 설치 방법은 다음 글을 참조하도록 하자. VSCode (Visual Studio Code) 설치 방법 오랜만에 이클립스가 아닌 다른 환경에서 개발을 하게 되었다. Vue.js 를 사용하기 위해서 이에 더 최적화된 VSCode를 선택하게 되었고 설치를 해보려고 한다. 설치파일 다운로드 Visual Studio Code - Cod oingdaddy.tistory.com 간단히 설치가 끝났고 그다음은 Vue로 개발하기 위해 필요한 것들을 설치해야 한다. Node.js 설치 (npm) Vue로 개발을 할때 수많은 라이브러리들을 가지고 와서 쓸수가 있는데 ..