상황 프로젝트 내에서 소스코드 점검을 진행했는데, 점검 결과, VA_FORMAT_STRING_USES_NEWLINE 취약점이 검출되었다. 점검은 OWASP TOP 10 ( 10대 웹 보안 취약점 ), CWE (보안 약점 ) 둘다 커버하는 Spotbugs + FindSecurityBugs를 사용하였다. VA_FORMAT_STRING_USES_NEWLINE에 대해 찾아보니, 개행문자를 사용하려면 "\n" 이 아니라 "%n"을 사용하라고 한다. FS: Format string should use %n rather than n (VA_FORMAT_STRING_USES_NEWLINE) This format string includes a newline character (\n). In format strings,..
상황 웹 어플리케이션을 실행환경에서 동적분석을 해야 할 일이 생겼다. 처리방법 - OWASP ZAP 설치 아래 OWASP ZAP 사이트에서 설치 파일을 다운로드 한다. OWASP ZAP 설치파일 다운로드 설치 파일을 다운로드 했으면 설치를 진행한다. 설치를 진행하다 보면 11버전이상 JRE 환경에서 돌아가니까, 어딨는지 위치를 잡아달라고 뜨는데.. 아래 사이트에서 JDK11을 다운받는다. openJdk 11 다운로드 다운로드가 끝났으면, 적당한 위치에 압축을 풀어준다. (나중에 환경변수로 해당 위치를 잡아야 되니 위치 잘 생각해주세요) 그리고 아까 JRE 위치 잡아달라는 팝업으로 돌아가서, Locate버튼을 눌러서, Jdk 압축푼 폴더로 이동해서, bin폴더 아래 java.exe 파일을 선택해 준다. 언..
상황 오라클 데이터베이스로 프로젝트 진행 중 일부 schema를 통으로 Export받아야 할 일이 생겼다. 처리방법 DataPump 유틸리티중 expdp를 사용해서 스키마를 Export받아봤다. Directory확인 export 된 dmp파일이 저장되는 경로를 지정해야 하기 때문에, db에 접속하여 export할 디렉토리를 검색해 보자. sysdba계정으로 오라클 database 접속. bash-4.2$ sqlplus / as sysdba; SQL*Plus: Release 19.0.0.0.0 - Production on Fri Feb 10 00:36:05 2023 Version 19.3.0.0.0 Copyright (c) 1982, 2019, Oracle. All rights reserved. Conne..
상황 프로젝트 내에서 소스코드 점검을 진행했는데, 점검 결과, SQL_PREPARED_STATEMENT_GENERATED_FROM_NONCONSTANT_STRING 취약점이 검출되었다. 점검은 OWASP TOP 10 ( 10대 웹 보안 취약점 ), CWE (보안 약점 ) 둘다 커버하는 Spotbugs + FindSecurityBugs를 사용하였다. 취약점이 검출된 소스를 보니, + 를 사용해서 문장을 만들고 있었다. String sql = "SELECT temp," + System.lineSeparator() + "temp2," + System.lineSeparator() + "temp3" + System.lineSeparator() + "FROM DUAL"; 처리방법 동적으로 생성되는 것으로 보이는 문..
상황 Android Studio에서 플루터로 만들어진 앱을 실행했더니 INSTALL_FAILED_INSUFFICIENT_STORAGE 라는 오류가 발생했다. Error: ADB exited with exit code Performing Streamed Install adb: failed to install /flutter-app/build/app/outputs/flutter-apk/app.apk: Failure [INSTALL_FAILED_INSUFFICIENT_STORAGE] Error launching application on sdk gphone64 arm64 처리방법 찾아보니, Target Device의 Memory and Storage 항목에 스토리지 용량을 늘려주면 된다고한다. Device 설..
상황 인프라팀에서 tomcat, https(ssl) 포트 443으로 설정 했다고 연락이 왔다. https로 서비스도 잘 돌아가는 것을 확인하고, 작업한 파일들을 서버에 배포하고 서버를 내렸다 올렸는데....SocketException: Permission denied 가 발생하면서 안돌아간다 01-Feb-2023 15:50:59.807 INFO [main] org.apache.coyote.AbstractProtocol.init Initializing ProtocolHandler ["http-nio-80"] 01-Feb-2023 15:50:59.823 SEVERE [main] org.apache.catalina.util.LifecycleBase.handleSubClassException Failed to ..
상황 초대장을 만들 일이 생겼는데, 거창한건 아니고 심플한 디자인에 행사 위치와 인사말등 간단한 문장 몇개만 들어가면 되는데..괜찮은 툴이 없을까.. 처리방법 하루종일 어떤 디자인이 좋을 지 찾아보다가 postermywall 이라는 괜찮은 해외 사이트를 찾게 되었다. 검색 버튼을 눌러서 원하는 생일관련 디자인을 검색해봤다. 검색된 템플릿 중에 원하는 것을 골라서 선택한다. 템플릿을 골랐으면 원하는대로 텍스트나 미디어, 모형, 그림같은것들을 추가하고 수정하면서 목적에 맞게 꾸미면된다. 스티커를 한번 추가해봤다. 확인 위에는 비디오로 만들었는데, 그냥 정적인 사진으로 만들고 싶다면 애니메이션 효과 다 빼고 그냥 plan text로만 멋지게 꾸미면된다. 다 만든 다음에는 상단 메뉴에 Publish, Downl..
상황 제우스8(Jeus8)에서 같은 하나의 컨테이너에 두개의 어플리케이션를 올려야 할 상황이 생겼다. (서로 다른 context로..각자 구동되도록) Crownix Report (RD) 리포트 서버인데 다음과 같이 DataServer와 ReportingServer로 구성되어있다. 결과적으로 서버 하나만 돌려서 https://127.0.0.1/DataServer, https://127.0.0.1/ReportingServer 이렇게 호출되면 된다. Application Deploy Path를 webapp 밑에 rd로 잡아버리면 DataServer와 ReportingServer를 알아서 구동시켜주지 않을까? 안된다. 하는 방법이 없을까.. 처리방법 Applications 메뉴에서 DataServer, Repo..
