Hello backEnd

서비스를 실제로 운영할 때에 공격이 들어올 수 있고, 이를 막기 위해 노력해야 한다. 디프만에서 우리는 모든 DB통신을 JPA와 querydsl을 통해 진행했기 때문에 SQL injection은 막을 수 있었다. 그러나 XSS의 경우는 추가적인 방어가 필요했다. 이를 위해 lucy filter를 도입하였고, 우리 프로젝트에 맞춰 추가적인 기능을 부여하며 여러 테스트를 해 보았다. lucy필터의 장점 https://github.com/naver/lucy-xss-filter 네이버에서 만든 XSS 방어용 필터이다. 이를 사용하면 XML설정만으로 XSS방어가 가능해진다. 비지니스 레이어의 코드 수정이 필요하지 않다. 직접 설정할 필요가 없으므로 코드를 잘못 입력하거나, 놓치고 적용하지 않는 경우가 없다. lu..

XSS와 sql injection에 관하여 SQL Injection이란?? 먼저 SQL Injection이란, 이름 그대로 보안상의 취약점을 이용하여 임의의 SQL문을 주입하여 DB에서 이 SQL이 실행되도록 하는 공격이다. 이 SQL Injection은 OWASP Top10중 첫번째에 해당한다. 공격 방법이 간단하고, 이게 성공할 경우 큰 피해를 받게 되는 공격이다. 어떤 공격인지 예를 들어보자면 공격 방법 예를 들어 user_id user_pass RyooChan 1q2w3e! Michael Jordan bulls23 Magic Johnson Lakers32 위와 같은 유저 정보를 가진 테이블이 있다고 할 때 SELECT user FROM user_table where user_id = '[1..