목록전체 글 (176)

초보 개발자의 기록

SQL Injection(인젝션) 완벽 정리: 개념, 공격 예시, 방어 기법

SQL Injection은 공격자가 웹 애플리케이션의 취약점을 이용해 악의적인 SQL 쿼리를 삽입하거나 조작하는 공격 기법이다. 주로 애클리케이션 사용자 입력값을 적절히 검증하지 않거나, 쿼리를 문자열로 직접 구성할 때 발생한다. 이 공격을 통해 공격자는 민감한 정보를 탈취하거나, 데이터를 조작하고, 심한 경우 시스템 전체를 장악할 수 있다. SQL Injection의 위험성데이터 탈취: 사용자의 개인정보, 계정 정보 등 민감한 데이터를 조회할 수 있다.데이터 변조: 데이터를 삭제하거나 변경하는 등의 작업이 가능하다.권한 상승: 일부 데이터베이스는 특정 취약점을 통해 관리자(DBA) 권한까지 탈취할 수 있다.시스템 장악: 데이터베이스 명령 실행 -> 서버 파일 시스템 접근 -> 최종적으로 서버 전체를 장..
Backend/시큐어 코딩 2025. 11. 19. 13:41
XSS(Cross-Site Scripting) – 공격 유형 실무 방지 기법

XSS(Cross-Stie Scripting)란?XSS(Cross-Site Scripting)는 웹 애플리케이션의 취약점을 악용해 악성 스크립트를 다른 사용자의 브라우저에서 실행시키는 공격 기법이다. 이를 통해 공격자는 사용자의 세션 탈취, 악성 코드 실행, 피싱, 웹사이트 변조 등 다양한 공격을 수행할 수 있다. 웹 페이지에 신뢰할 수 없는 입력이 그대로 반영될 때 주로 발생하며, 가장 흔한 웹 취약점 중 하나이다. XSS 공격 유형반사형 XSS (Reflected XSS)사용자의 이볅이 서버에서 즉시 반영되어 브라우저에서 실행될 때 발생하는 유형이다. 보통 URL 파라미터나 쿼리 스트링을 통해 악성 스크립트를 삽입한다.http://example.com/search?q=검색어를 그대로 페이지에 출력하는..
Backend/시큐어 코딩 2025. 11. 19. 13:30
CSRF(Cross-Site Request Forgery)란? 공격 원리와 방지 방법

CSRF 란?CSRF(Cross-Site Request Forgery)는 웹 애플리케이션의 취약점을 이용해 사용자가 의도하지 않은 요청을 보내도록 하는 공격 기법이다. 공격자는 사용자가 인증된 상태를 악용하여, 사용자가 원하지 않는 행동을 수행하게 만들 수 있다.예를 들어, 사용자가 은행 사이트에 로그인한 상태에서 악성 웹사이트를 방문하면, 해당 사이트가 사용자의 권한을 이용해 은행 계좌에서 돈을 송금하도록 요청할 수 있다. CSRF 발생 상황1. 사용자 로그인: 사용자가 웹 애플리케이션에 로그인2. 세션 유지: 로그인 후 세션 쿠키가 브라우저에 저장3. 악성 웹사이트 방문: 공격자가 CSRF 코드를 포함한 사이트로 유도4. 악의적인 요청 전송: 사용자의 세션 쿠키를 이용해 원본 웹 애플리케이션으로 요청..
Backend/시큐어 코딩 2025. 11. 19. 11:38
CORS 오류(403, 405)의 원인과 해결 방법 — Preflight, Same-Origin, 방화벽

CORS 오류 (403, 405)의 진짜 원인과 해결 방법SPA + Spring Boot 환경에서 흔히 발생하는 CORS 문제SPA(React, Vue 등) 프런트엔드에서 API호출을 했는데 403(Forbidden), 405(Method Not Allowed) 오류가 발생하는 경험은 매우 흔하다. 방화벽에서 GET, POST, DELETE, PATCH를 모두 열어두었는데 왜 문제가 발생할까? 그 이유는 바로 CORS 기본 동작 방식과 Preflight 요청(OPTIONS) 때문이다. CORS란?CORS(Cross-Origin Resoure Sharing) 은 한 출처(origin)에서 실행되는 웹 애플리케이션이 다른 출처의 리소스에 접근할 수 있도록 브라우저가 제공하는 보안 기능이다. 동일 출처(Sam..
Backend/시큐어 코딩 2025. 11. 19. 11:18
Spring Boot 로그를 Grafana Loki로 전송하기: loki-logback-appender

애플리케이션 운영에서는 로그는 문제 분석, 장애 대응, 성능 확인 등 매우 중요한 정보를 제공한다. 최근에는 단순 로그 파일 저장 방식이 아닌, 로그 집계(Log Aggregaton) 시스템을 활용해 로그를 중앙에서 조회하고 분석하는 방식이 일반화되고 있다. 그중에서도 Grafana Loki는 가볍고 빠르며, Prometheus처럼 라벨 기반의 로그 쿼리를 제공하는 강력한 로그 집계 솔루션이다. 이번 글에서는 Loki의 개념 그리고 Java (Spring Boot)에서 loki-logback-appender를 통해 로그를 Loki로 직접 전송하는 방법을 소개한다. Loki란 무엇인가? Loki는 Fragana Labs에서 개발한 로그 집계 시스템으로, Prometheus의 메트릭 수집 방식과 유사한 ..
Infra | DevOps/Monitoring 2025. 11. 18. 13:44
[모니터링] Grafana란? 핵심 기능과 Prometheus와의 조합

Grafana는 오픈소스 데이터 시각화 및 모니터링 플랫폼으로, 다양한 데이터 소스를 기반으로 대시보드를 만들고 데이터를 직관적으로 시각화할 수 있게 해 줍니다. 특히 Prometheus와 조합해 사용하는 것이 DevOps 및 SRE 환경에서 가장 널리 쓰이는 모니터링 스택입니다. 주요 기능대시보드 생성그래프, 파트, 게이지, 테이블 등 다양한 시각화 컴포넌트를 제공사용자는 원하는 방식으로 데이터를 시각화하여 대시보드를 만들 수 있음모니터링 화면을 자유도 높게 구성 가능다양한 데이터 소스 지원Grafana는 단일 데이터베이스에 의존하지 않는다.아래와 같은 수십 개의 데이터 소스를 플러그인 형태로 지원함:PrometheusInfluxDBDraphiteElasticsearchMySQL / PostgreS..
Infra | DevOps/Monitoring 2025. 11. 17. 16:36
이전 Prev 1 2 3 4 ··· 30 Next 다음