| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 |
- 운영체제 멀티 태스킹
- spring 동적 쿼리 주의사항
- 백엔드 직무 변경
- 백엔드 포지션 변경
- 운영체제 커널모드
- 개발 직무 변경
- android 타이머
- spring exception cause remove
- 운영체제 멀티 프로그래밍
- 운영체제 다중모드
- 개발 포지션 변경
- 운영체제 자원관리
- IT 포지션 변경
- spring exceptionHandler response cause
- 운영체제 작동방식
- Android Timer
- spring dynamic query sql injection
- spring responseEntity response cause
- spring exceptionHandler reposnse stackTrace
- 운영체제 개념
- 운영체제 공룡책
- spring exception stackTrace remove
- spring paging sort sql injection
- OS 자원관리
- aws ec2 scp 파일 전송
- ec2 scp 파일 전송
- spring sql injection
- spring responseEntity response stackTrace
- spring sql injection 방지
- IT 직무 변경
- Today
- Total
목록스프링 (2)
오늘도 삽질중
spring SQL injection 방지 (with. paging sort dynamic query)
프로젝트에서 동적으로 쿼리를 처리하는 API 에서 SQL Injection이 발생하는 취약점이 확인됬다. 발생 위치는 페이징 처리 API 에서 파라미터로 sort 를 넘겨주는 부분에 임의의 쿼리를 삽입 할 경우 그대로 실행되었다. 직접 테스트해보니 DB 자체에 sleep 을 걸수도 있고, 잘하면 삭제 및 데이터 추가도 가능하다고 판단되었다. 우선 해당 프로젝트는 아래처럼 구조가 되어있다. getOrderByProperty 는 아래처럼 구성되어 있다. protected OrderSpecifier[] getOrderByProperty(Sort sort, Class clazz){ return sort.stream().map(x -> { //문제가 되는 부분 String property = x.getProper..
예외처리를 전역적으로 사용하기 위해 @ExceptionHandler 를 사용해 처리하곤 합니다. 아래처럼 말이죠 @ExceptionHandler(InvalidDataAccessApiUsageException.class) public ResponseEntity handle(InvalidDataAccessApiUsageException exception, WebRequest request){ return new ResponseEntity( new ApiException(ApiError.COMPANY_IS_NULL), HttpStatus.BAD_REQUEST ); } 이렇게 설정을 한 후 테스트를 하다보면 아래 포맷으로 에러 메시지가 나오는 경우가 있습니다. { "cause": null, "stackTrace..