1. 정의 시스템 설정이나 구성요소를 외부에서 제어할 수 있으면 예상치 못한 결과(예: 서비스 중단)를 초래하거나 악용될 가능성이 있다. 2. 안전한 코딩 기법 외부의 입력을 Connection.setCatalog() 메소드의 인자값을 생성하는데 사용하지 않도록 한다. 불가피하게 사용해야 한다면, 외부의 입력을 화이트리스트 방식으로 검사한 후...

1. Java 프로파일러란 때로는 그냥 실행되는 코드를 쓰는 것만으로는 충분하지 않다. 메모리가 할당되는 방법, 다른 코딩 접근 방식을 사용한 결과, 동시 실행의 의미, 성능 향상을 위한 영역 등 내부적으로 어떤 일이 일어나는지 알고 싶을 수 있다. 프로파일러를 이용하면 된다. Java Profiler는 JVM 수준에서 Java 바이트코드 구성과 연...

1. 메모리 누수란 메모리 누수는 더는 사용되지 않는 개체가 힙에 있지만, 가비지 수집기가 메모리에서 개체를 제거할 수 없어 불필요하게 유지 관리되는 상황이다. 메모리 누수는 메모리 리소스를 차단하고 시간이 지남에 따라 시스템 성능을 저하하기 때문에 좋지 않다. 그리고 처리하지 않으면 애플리케이션은 결국 리소스를 소진하고 결국 치명적인 java.la...

1. 정의 LDAP 질의문이나 결과로 외부 입력이 부분적으로 적절한 처리 없이 사용되면 LDAP 질의문이 실행될 때 공격자는 LDAP 질의문의 내용을 마음대로 변경할 수 있다. 특히 여기서는 LDAP 질의문 자체에 외부 입력이 영향을 주는 경우를 말한다. 2. 안전한 코딩 기법 외부 입력에 대한 적절한 유효성 검증 후 사용해야 하며, LDAP...

1. 종단 간 암호화 종단 간 암호화(E2EE, End to End Encryption)란 메시지를 보내는 곳부터 받는 곳까지 모든 과정에서 암호화된 상태로 메시지를 전달하는 암호화 방식을 말한다. 단대단 암호화라고도 한다. 종단 간 암호화를 하면, 양 끝에 있는 사람, 즉 메시지를 발송하는 사람과 수신하는 사람만 내용을 볼 수 있으며, 중간에 있는...

1. 비즈니스 규칙 한 사람이 제로-하나 또는 다수의 설문조사에 등록 설문조사는 0명 또는 다수의 사용자를 등록 설문조사는 일대다 질문으로 통합 질문에는 제로-하나 또는 다수의 설문조사가 통합 질문에 대해 하나 또는 여러 개의 응답을 받지 못함 응...

1. 파라미터 문법 MyBatis에서 mapper 쿼리문이 있는 XML 파일에 파라미터 값을 설정할 때 크러스햇지(#{})와 달러 사인(${}) 기호를 사용한다. 이 둘은 용도가 다르기 때문에 명확히 구분해서 사용해야 한다. 2. 차이점 1) 크러스햇지(#{}) 크러스햇지(#{})는 값에 작은따옴표(')가 붙으며, PreparedStatement가...

1. 메시지 데이터 모델링 내ID와 상대방ID 개념을 도입하여 보내고 받는 행위를 ‘수발신구분코드’로 변경하면 깔끔한 쿼리를 얻을 수 있다. 문서함 ERD 인덱스: 사용자ID_발신, 수발신구분코드, 발신일시 내가 쪽지 한번 보낼 때마다 ‘나, 상대방, 발신’, ‘나, 상대방, 수신’ 두 건의 데이터를 넣어야 한다. ...

1. 정의 외부에서 입력된 값이 질의어의 인자값으로만 사용되지 않고, 질의 명령어에 연결되는 문자열로 사용되면, 공격자가 의도하지 않았던 문자열을 전달함으로써 질의문의 의미를 왜곡시키거나 그 구조를 변경하여 임의의 데이터베이스 명령어를 수행할 수 있다. 2. 안전한 코딩 기법 외부의 입력으로부터 위험한 문자나 의도하지 않았던 입력을 ...

1. TLS란 TLS(Transport Layer Security)은 인터넷에서의 정보를 암호화해서 송수신하는 프로토콜이다. 넷스케이프 커뮤니케이션스사가 개발한 SSL(Secure Sockets Layer)에 기반한 기술로, 국제 인터넷 표준화 기구에서 표준으로 인정받은 프로토콜이다. 표준에 명시된 정식 명칭은 TLS지만 아직도 SSL이라는 용어가...