The response does not include either Content-Security-Policy with 'frame-ancestors' directive or X-Frame-Options to protect against 'ClickJacking' attacks.위 문구는 웹 취약점 점검결과로 나온 문구로, 웹 응용 프로그램이 적절한 보안 헤더를 포함하지 않아 'ClickJacking' 공격에 노출될 수 있다는 것을 나타냅니다. 'ClickJacking'은 악의적인 웹 사이트가 사용자의 클릭을 다른 곳으로 리디렉션하여 사용자의 동의 없이 악성 작업을 수행할 수 있는 공격 유형입니다. 취약점으로 인해 악의적인 사용자가 올바른 권한 없이 다른사용자의 클릭 액션을 트리거하거나 부정한 동작을 유도..
상황 프로젝트 내에서 소스코드 점검을 진행했는데, 점검 결과, VA_FORMAT_STRING_USES_NEWLINE 취약점이 검출되었다. 점검은 OWASP TOP 10 ( 10대 웹 보안 취약점 ), CWE (보안 약점 ) 둘다 커버하는 Spotbugs + FindSecurityBugs를 사용하였다. VA_FORMAT_STRING_USES_NEWLINE에 대해 찾아보니, 개행문자를 사용하려면 "\n" 이 아니라 "%n"을 사용하라고 한다. FS: Format string should use %n rather than n (VA_FORMAT_STRING_USES_NEWLINE) This format string includes a newline character (\n). In format strings,..
상황 프로젝트 내에서 소스코드 점검을 진행했는데, 점검 결과, SQL_PREPARED_STATEMENT_GENERATED_FROM_NONCONSTANT_STRING 취약점이 검출되었다. 점검은 OWASP TOP 10 ( 10대 웹 보안 취약점 ), CWE (보안 약점 ) 둘다 커버하는 Spotbugs + FindSecurityBugs를 사용하였다. 취약점이 검출된 소스를 보니, + 를 사용해서 문장을 만들고 있었다. String sql = "SELECT temp," + System.lineSeparator() + "temp2," + System.lineSeparator() + "temp3" + System.lineSeparator() + "FROM DUAL"; 처리방법 동적으로 생성되는 것으로 보이는 문..
