일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
- spring exception stackTrace remove
- IT 직무 변경
- spring responseEntity response cause
- spring sql injection
- spring sql injection 방지
- 운영체제 자원관리
- 백엔드 직무 변경
- spring exceptionHandler reposnse stackTrace
- spring dynamic query sql injection
- 운영체제 멀티 태스킹
- 운영체제 다중모드
- 개발 포지션 변경
- Android Timer
- 운영체제 멀티 프로그래밍
- spring 동적 쿼리 주의사항
- OS 자원관리
- 운영체제 공룡책
- spring exceptionHandler response cause
- 개발 직무 변경
- 운영체제 작동방식
- spring exception cause remove
- 백엔드 포지션 변경
- aws ec2 scp 파일 전송
- IT 포지션 변경
- ec2 scp 파일 전송
- spring responseEntity response stackTrace
- 운영체제 커널모드
- android 타이머
- spring paging sort sql injection
- 운영체제 개념
- Today
- Total
목록스프링 (2)
오늘도 삽질중
프로젝트에서 동적으로 쿼리를 처리하는 API 에서 SQL Injection이 발생하는 취약점이 확인됬다. 발생 위치는 페이징 처리 API 에서 파라미터로 sort 를 넘겨주는 부분에 임의의 쿼리를 삽입 할 경우 그대로 실행되었다. 직접 테스트해보니 DB 자체에 sleep 을 걸수도 있고, 잘하면 삭제 및 데이터 추가도 가능하다고 판단되었다. 우선 해당 프로젝트는 아래처럼 구조가 되어있다. getOrderByProperty 는 아래처럼 구성되어 있다. protected OrderSpecifier[] getOrderByProperty(Sort sort, Class clazz){ return sort.stream().map(x -> { //문제가 되는 부분 String property = x.getProper..
예외처리를 전역적으로 사용하기 위해 @ExceptionHandler 를 사용해 처리하곤 합니다. 아래처럼 말이죠 @ExceptionHandler(InvalidDataAccessApiUsageException.class) public ResponseEntity handle(InvalidDataAccessApiUsageException exception, WebRequest request){ return new ResponseEntity( new ApiException(ApiError.COMPANY_IS_NULL), HttpStatus.BAD_REQUEST ); } 이렇게 설정을 한 후 테스트를 하다보면 아래 포맷으로 에러 메시지가 나오는 경우가 있습니다. { "cause": null, "stackTrace..