본문 바로가기

J 바로가기

📌CS49

XSS(Cross-site Scripting) 공격 개념 Cross-site Scripting의 약자로 게시판이나 웹 메일 등에 스크립트 코드를 삽입해 개발자가 고려하지 않은 기능이 작동하게 하는 웹 해킹 공격 기법이다. 주로 사용자를 대상으로 한 공격이다. SQL injection과 함께 웹 상에서 가장 기초적인 취약점 공격 방법의 일종이다. 주로 CSRF를 하기 위해서 사용되기 때문에 종종 CSRF와 혼동되는 경우가 있으나, XSS는 스크립트를 실행시키는 것이고, CSRF는 특정한 행동을 시키는 것이므로 다르다. (CSS는 Cascading Style Sheets의 약어로 사용되고 있어 XSS라고 한다.) 종류 Reflected XSS Stored XSS 1. Reflected XSS 보통 URL 파라미터(특히 GET 방식)에 스크립트를 넣어 서버에 .. 2021. 4. 25.

[Design Pattern] 프록시 패턴(Proxy Pattern) 개념 일반적으로 사용하는 프록시라는 용어는 클라이언트와 사용 대상 사이의 대리 역할을 맡은 오브젝트를 두는 방법을 총칭하는 반면, 디자인 패턴에서 말하는 프록시 패턴의은 프록시를 사용하는 방법 중에서 타깃에 대한 접근 방법을 제어하려는 목적을 가진 경우를 가리킨다. 프록시 패턴의 프록시는 타깃의 기능을 확장하거나 추가하지 않는다. 클라이언트가 타깃에 접근하는 방식을 변경한다. 타깃 오브젝트를 생성하기가 복잡하거나 당장 필요하지 않은 경우에는 꼭 필요한 시점까지 오브젝트를 생성하지 않는 편이 좋다. 그런데 타깃 오브젝트에 대한 레퍼런스가 미리 필요할 수 있다. 이럴 때 프록시 패턴을 적용하면 된다. 클라이언트에게 타깃에 대한 레퍼런스를 넘겨야 하는데, 실제 타깃 오브젝트 대신 프록시를 넘겨준다. 그리고 프.. 2021. 4. 25.

[DB] 트랜잭션 격리 수준(Transaction Isolation Level) 개념 트랜잭션 격리수준(isolation level)이란 동시에 여러 트랜잭션이 처리될 때, 트랜잭션끼리 얼마나 서로 고립되어 있는지를 나타내는 것이다. 즉, 특정 트랜잭션이 다른 트랜잭션에 변경한 데이터를 볼 수 있도록 허용할지 말지를 결정한다. 데이터베이스는 ACID 특징과 같이 트랜잭션이 독립적인 수행을 하도록 Locking을 통해, 트랜잭션이 DB를 다루는 동안 다른 트랜잭션이 관여하지 못하도록 막는 것이 필요하다. 하지만 무조건 Locking으로 동시에 수행되는 수많은 트랜잭션들을 순서대로 처리하는 방식으로 구현하게 되면 데이터베이스의 성능은 떨어지게 된다. 하지만, 성능을 높이기 위해 Locking의 범위를 줄인다면, 잘못된 값이 처리될 문제가 발생할 수 있다. 따라서 최대한 효율적인 Lock.. 2021. 4. 23.

[DB] 트랜잭션(Transaction) 개념 트랜잭션(Transaction)은 데이터베이스의 상태를 변화시키는 하나의 논리적 기능을 수행하기 위한 작업의 단위 또는 한꺼번에 모두 수행되어야 하는 일련의 연산을 의미한다. 트랜잭션은 데이터베이스 시스템에서 병행 제어 및 회복 작업 시 처리되는 작업의 논리적 단위이다. 사용자가 시스템에 대한 서비스 요구 시 시스템이 응답하기 위한 상태 변환 과정의 작업단위이다. 상태변화 : SQL질의어(SELECT | INSERT | UPDATE | DELETE)를 통해 DB에 접근하여 데이터베이스 상태가 변화하는 것 작업 단위 : 일련의 연산(SQL 명령문 집합). 사람이 정하는 기준(하나의 논리적 기능을 수행하기 위한)에 따라 정의함 하나의 트랜잭션 설계를 잘 만드는 것이 데이터를 다룰 때 많은 이점을 가져다.. 2021. 4. 23.

[Web] param vs query vs body 개념 Request 객체는 API를 컨트롤하기 위한 메소드로 아래 세가지를 담고 있다. param query body req.param 주소에 포함된 변수를 담는다. 예를 들어 https://naver.com/post/12345 라는 주소가 있다면 12345를 담는다. 서버에서 Path Variable 로 칭한다. req.query 주소 바깥, ? 이후의 변수를 담는다. 예를 들어 https://naver.com/post?post_id=12345 일 경우 Node.js를 담는다. &로 연결하여 여러 개의 데이터를 넘길 수 있다. https://naver.com/post?post_id=1235&key=value 서버에서 Query parameter 로 칭한다. req.body XML, JSON, Multi.. 2021. 4. 18.

[DB] 캐시, Redis 캐시란? 한번 읽은(처리한) 데이터를 임시로 저장하고 필요에 따라 전송,갱신,삭제하는 기술로 보통은 데이터의 보관장소로 서버의 메모리를 사용하는 경우가 많다. 그렇기 때문에 디스크에서 정보를 얻어오는 것보다 훨씬 빠른 I/O성능을 얻을 수 있으나 서버가 다운되거나 재부팅되는 경우 사라지는 성격의 휘발성을 가지고 있어 영속적으로 보관할 수 없는, 말 그대로 임시적으로 보관하고 빠르게 그 정보에 접근하기 위한 용도로 사용해야 한다. 물론 정보의 성격에 따라 별도의 디스크백업 및 TTL등의 설정으로 영구보관이나 오랜기간 유지가 가능하다. 단 이런 설정들이 꼭 필요하다면 Cache를 적용하는게 맞는지 한 번도 타당성을 검토해 보는게 좋겠다. 목적 서버간 불필요한 트래픽을 줄일 수 있고, 그로 인해 웹어플리케이션.. 2021. 4. 18.

[DB] Connection Pool 개념 DBCP(Database Connection Pool)은 다수의 HTTP 요청에 대한 Thread를 효율적으로 처리할 수 있는 방식을 말한다. (WAS와 DB 서버간 이슈) Connection Pool을 사용하지 않고 WAS에서 DB서버에 접근을 시작하고 데이터를 가져오는 단계 DB 서버 접속을 위해 JDBC 드라이버를 로드한다. DB 접속 정보와 DriverManager.getConnection() Method를 통해 DB Connection 객체를 얻는다. Connection 객체로 부터 쿼리를 수행하기 위한 PreparedStatement 객체를 받는다. executeQuery를 수행하여 그 결과로 ResultSet 객체를 받아서 데이터를 처리한다. 처리가 완료되면 처리에 사용된 리소스들을 c.. 2021. 4. 18.

[Web] CORS(Cross-Origin Resource Sharing) 개념 교차 출처 리소스 공유(Cross-Origin Resource Sharing, CORS)는 추가 HTTP 헤더를 사용하여, 한 출처에서 실행 중인 웹 애플리케이션이 다른 출처의 선택한 자원에 접근할 수 있는 권한을 부여하도록 브라우저에 알려주는 체제이다. 보안 상의 이유로, 브라우저는 스크립트에서 시작한 교차 출처 HTTP 요청을 제한한다. 출처란? 도메인(호스트), 프로토콜, 포트가 다를 때 출처가 다르다고 말하며, 이때 교차 출처 HTTP 요청을 실행한다. 웹 애플리케이션은 자신의 출처와 동일한 리소스만 불러올 수 있으며, 다른 출처의 리소스를 불러오려면 그 출처에서 올바른 CORS 헤더를 포함한 응답을 반환해야 한다. 해결(허용) 방법 XMLHttpRequest와 Fetch API는 동일 출처.. 2021. 4. 18.

[DB] 정규화 이상 현상(anomaly) 테이블내의 데이터 중복성에 의해서 발생되는 데이터 불일치 현상. = 애트리뷰트들 간에 존재하는 여러 종속관계를 하나의 릴레이션에 표현했기 때문에 나타나는 데이터 불일치 현상 갱신 이상, 삽입 이상, 삭제 이상으로 구성된다. 갱신 이상 (Modification Anomaly) : 반복된 데이터 중에 일부를 갱신 할 시 데이터의 불일치가 발생한다. 삽입 이상 (Insertion Anomaly) : 불필요한 정보를 함께 저장하지 않고서는 어떤 정보를 저장하는 것이 불가능하다. 삭제 이상 (Deletion Anomaly) : 필요한 정보를 함께 삭제하지 않고서는 어떤 정보를 삭제하는 것이 불가능하다. 이상 현상은 종속관계를 분석하여 여러 개의 릴레이션으로 분해하는 정규화를 통해 방지할.. 2021. 4. 11.

이전 1 2 3 4 5 6 다음

티스토리툴바