[AWS] awscli μ„€μ •

AWS 기반의 λͺ¨μ˜ν•΄ν‚Ήμ„ μ§„ν–‰ν•˜λ‹€ 보면 awscli 연동이 ν•„μš”ν•΄μ§€λŠ” μˆœκ°„μ΄ μ˜΅λ‹ˆλ‹€. 이전에 이미 등둝해두긴 ν–ˆλŠ”λ° μ•‘μ„ΈμŠ€ ν‚€λ₯Ό λΆ„μ‹€ν•΄μ„œ λ‹€μ‹œ μž¬λ°œκΈ‰ν•˜κ²Œ λ˜λŠ” λΆˆμƒμ‚¬κ°€ μƒκ²Όλ„€μš”.. μ—¬λŸ¬λΆ„λ“€μ€ 보관 μž˜ν•˜μ‹œκΈ° λ°”λžλ‹ˆλ‹€.(μ•‘μ„ΈμŠ€ ν‚€ μž¬λ°œκΈ‰λ°›μ•˜μœΌλ©΄ μ΄μ „μ˜ ν‚€λŠ” λ°”λ‘œ μ œκ±°ν•˜μ§€ λ§ˆμ‹œκ³  μƒˆλ‘œμš΄ 킀에 λŒ€ν•΄ μΆ©λΆ„νžˆ ν…ŒμŠ€νŠΈ ν›„ μ²˜λ¦¬ν•˜μ‹œκΈ° λ°”λžλ‹ˆλ‹€.) iAM κ³„μ •μ˜ access keyλ₯Ό μ„€μ •ν•˜κ³  ".csv 파일 λ‹€μš΄λ‘œλ“œ"λ₯Ό ν•΄μ„œ λ³„λ„μ˜ 디렉토리에 λ³΄κ΄€ν•΄λ‘μ—ˆμŠ΅λ‹ˆλ‹€. aws κ΄€λ¦¬μ½˜μ†”μ—μ„œ μƒμ„±λœ iAM 계정에 λŒ€ν•œ Access keyλ₯Ό csvν˜•μ‹μ˜ 파일둜 μΆ”μΆœν•˜μ‹œλ©΄ μœ„μ™€ 같은 μ€‘μš”μ •λ³΄λ₯Ό λ³„λ„λ‘œ λ³΄κ΄€ν•˜μ‹€ 수 있게 λ©λ‹ˆλ‹€. # apt update # pip install awscli --upgrade aws μ»€λ§¨λ“œλ₯Ό μ‚¬μš©ν•  ν™˜κ²½μ—μ„œ..

ETC
OAuth 및 OpenID의 잘λͺ»λœ λ³΄μ•ˆ ꡬ성

OAuth λž€ 온라인 μ‡Όν•‘μ²˜λŸΌ λ‹€μ–‘ν•œ 포털 μ‚¬μ΄νŠΈμ—μ„œ κ΅¬ν˜„λœ 둜그인 방식을 보면 λ“±λ‘λœ ID 및 νŒ¨μŠ€μ›Œλ“œλ‘œ κ°€μž…ν•˜λŠ” 것이 μ•„λ‹Œ "μ†Œμ…œ λ―Έλ””μ–΄ 계정"을 톡해 λ‘œκ·ΈμΈν•˜λŠ” 방식을 μ’…μ’… λ³Ό 수 μžˆμŠ΅λ‹ˆλ‹€. OAuthλΌλŠ” 것이 생기기 μ΄μ „μ—λŠ” μ›Ή μ„œλΉ„μŠ€λ₯Ό μ΄μš©ν•˜κΈ° μœ„ν•΄ μ‚¬μš©μžμ˜ 이름과 μ•”ν˜Έλ₯Ό λ“±λ‘ν•˜μ—¬ μ‚¬μš©ν–ˆμŠ΅λ‹ˆλ‹€. λ‹€λ₯Έ μ‚¬μ΄νŠΈλ₯Ό μ΄μš©ν•  λ•Œλ§ˆλ‹€ μ‚¬μ΄νŠΈλ³„ μ‚¬μš©μžμ˜ 이름과 μ•”ν˜Έλ₯Ό μƒˆλ‘œ μ§€μ •ν•΄μ€˜μ•Ό ν•˜λŠ” λ²ˆκ±°λ‘œμ›€μ΄ μžˆμ—ˆμŠ΅λ‹ˆλ‹€. κ·Έλž˜μ„œ λ³„λ„μ˜ 계정을 λ§Œλ“€μ§€ μ•Šκ³  인증받은 타사 앱을 μ΄μš©ν•΄ κΆŒν•œμ„ λΆ€μ—¬ν•  수 μžˆλŠ” μ€‘μ•™κΈ°κ΄€μ˜ ν•„μš”μ„±μ΄ 느끼게 λ˜μ—ˆκ³  그것을 ν•΄κ²°ν•  수 μžˆλŠ” 것이 이 OAuth ν”„λ ˆμž„μ›Œν¬ 라고 λ³΄μ‹œλ©΄ λ©λ‹ˆλ‹€. 이 κΈ°λŠ₯을 μ΄μš©ν•  경우 μ‚¬μ΄νŠΈλ₯Ό 이동할 λ•Œλ§ˆλ‹€ νšŒμ›κ°€μž…, 계정 μž…λ ₯을 ν•˜μ§€ μ•Šκ³  νŠΉμ • μ†Œμ…œλ―Έλ””μ–΄μ˜ 계정 ν•˜λ‚˜..

WEB
CSTI(Client Side Template Injection) 취약점

CSTI λž€? Client Side Template Injection으둜 ν΄λΌμ΄μ–ΈνŠΈ μΈ‘μ—μ„œ μ‚¬μš©λ˜λŠ” ν…œν”Œλ¦Ώμ— μž„μ˜ ꡬ문을 μ£Όμž…ν•œλ‹€λŠ” 의미λ₯Ό κ°€μ§‘λ‹ˆλ‹€. λΈŒλΌμš°μ € μƒμ—μ„œ μž…λ ₯된 ν…œν”Œλ¦Ώ ν‘œν˜„μ‹μ„ ν”„λ‘ νŠΈ μΈ‘μ—μ„œ μ΄ν•΄ν•˜κ³  μ›ν•˜λŠ” κ²°κ³Όλ₯Ό λ³΄μ—¬μ€€λ‹€λŠ” 것은 곡격자 κ΄€μ μ—μ„œ ν…œν”Œλ¦Ώ ν‘œν˜„μ‹ + μžλ°”μŠ€ν¬λ¦½νŠΈ ꡬ문 쑰합을 톡해 XSSλ₯Ό μ‹œλ„ν•  κ°€μΉ˜κ°€ μžˆλŠ” μ·¨μ•½μ μž…λ‹ˆλ‹€. 일반적으둜 XSS μ·¨μ•½μ μ˜ 영ν–₯도와 μœ μ‚¬ν•˜μ§€λ§Œ μ˜¨μ „νžˆ μžλ°”μŠ€ν¬λ¦½νŠΈ ꡬ문으둜 μ‹€ν–‰μ‹œν‚€λŠλƒ ν…œν”Œλ¦Ώ ν‘œν˜„μ‹μ— λ‹΄μ•„μ„œ μ‹€ν–‰ν•˜λŠλƒμ˜ 차이가 μ‘΄μž¬ν•©λ‹ˆλ‹€. κ³΅κ²©μžλŠ” μƒŒλ“œλ°•μŠ€μ—μ„œ ν—ˆμš©λ˜λŠ” ν•¨μˆ˜($eval 제곡)와 객체(toString(), charAt(), trim(), prototype, and constructor)와 ν‘œν˜„μ‹ "{{}}" λ˜λŠ” "[]"λ₯Ό 톡해 μƒŒλ“œλ°•μŠ€λ₯Ό ..

WEB
κΈ°μ—… λ„λ©”μΈμ˜ DMARC λ ˆμ½”λ“œ 뢄석

DMARC λž€? SPF, DKIM 및 DMARCλŠ” 이메일 인증 ν”„λ‘œν† μ½œλ‘œ νšŒμ‚¬μ˜ 이메일 λ„λ©”μΈμœΌλ‘œ ν•˜μ—¬κΈˆ μŠ€ν‘Έν•‘, ν”Όμ‹±κ³Ό 같은 사이버 범죄에 μ‚¬μš©λ˜μ§€ μ•Šλ„λ‘ μœ νš¨μ„± 체크λ₯Ό ν•˜μ—¬ κΈ°μ—…μ˜ 도메인을 λ³΄ν˜Έν•˜κ³  ν’ˆμ§ˆμ„ κ°œμ„ μ‹œμΌœμ€„ 수 μžˆλŠ” λ°©λ²•μœΌλ‘œ, Google, Microsoft, Yahooλ₯Ό ν¬ν•¨ν•œ μ£Όμš” 이메일 제곡 업체인 Paypal, Facebook, Linkedin λ“± κ³Ό ν˜‘λ ₯ν•˜μ—¬ μ•…μ„± 메일을 λ°©μ§€ν•˜κΈ° μœ„ν•΄ κ΅¬ν˜„ν•œ 인증 λ©”μ»€λ‹ˆμ¦˜μž…λ‹ˆλ‹€. 정책이 κ΅¬ν˜„λ˜μ–΄ μžˆμ„ 경우 μˆ˜μ‹  이메일을 검사 -> 이메일 인증 톡과 μ‹œ 전솑 -> ν†΅κ³Όν•˜μ§€ λͺ»ν•  경우 λ ˆμ½”λ“œμ— ν¬ν•¨λœ 지침에 따라 이메일 전솑(none λ˜λŠ” Approve), 격리(Quarnatine), κ±°λΆ€(Reject)λ₯Ό ν•  수 μžˆμŠ΅λ‹ˆλ‹€. 졜근 DMARCκ°€ κΈ‰λΆ€μƒν•œ 이..

WEB
[Android] Setcancelable ν†΅ν•œ μ•± μ’…λ£Œ 막기

AlertDialog Dialog(λ‹€μ΄μ–Όλ‘œκ·Έ)λŠ” 말 κ·ΈλŒ€λ‘œ λŒ€ν™” μƒμžμ˜ κ°œλ…μœΌλ‘œ Alert(νŒμ—…)λ₯Ό λ„μ›Œ 앱을 μ‚¬μš©ν•˜λŠ” μ‚¬μš©μžλ“€μ—κ²Œ μΆ”κ°€ μž…λ ₯을 λ°›κ±°λ‚˜ λ‹€μŒ ν–‰μœ„(Yes, No, Cancel)λ₯Ό κ²°μ •μ‹œν‚€λŠ” μš©λ„λ‘œ μ‚¬μš©λ©λ‹ˆλ‹€. 이 λ©”μ‹œμ§€ 창에 μ‚¬μš©μžκ°€ 응닡을 ν•˜μ§€ μ•ŠμœΌλ©΄ 화면에 사라지지 μ•Šκ³  계속 λŒ€κΈ°ν•˜κ²Œ λ©λ‹ˆλ‹€. AlertDialogμ—λŠ” μ‚¬μš©λ˜λŠ” μš”μ†Œλ“€ Title: λŒ€ν™”μƒμžμ˜ 제λͺ© Message: λŒ€ν™”μƒμžλ₯Ό μ΄ν•΄ν•˜κΈ° μœ„ν•œ λ‚΄μš© Positive Button: μ‚¬μš©μžμ˜ 긍정적인 λ°˜μ‘μ„ 의미(Yes, λ„€, 확인) Negative Button: μ‚¬μš©μžμ˜ 뢀정적인 λ°˜μ‘μ„ 의미(No, Cancel, μ·¨μ†Œ) Netural Button: 긍정 λ˜λŠ” 뢀정도 μ•„λ‹Œ λ°˜μ‘μ„ 의미(Cancel, Remind Later 일반적으..

MOBILE
Log4j 취약점(CVE-2021-44228)

κ°œμš” 12μ›” 10일경 μΉœκ΅¬λ“€κ³Ό μˆ μ§‘μ—μ„œ μ‘°μ΄ν•˜κ²Œ 술 ν•œμž” ν•˜κ³  μžˆμ„ λ•Œ λ‹€μ–‘ν•œ ν¬ν„Έμ‚¬μ΄νŠΈμ—μ„œ λ³΄μ•ˆμ‚¬κ³ κ°€ λ°œμƒν–ˆλ‹€λŠ” 기사λ₯Ό μ ‘ν•˜κ²Œ λ˜μ—ˆμŠ΅λ‹ˆλ‹€. CVE-2021-44228(JNDI Injection) λ„˜λ²„λ₯Ό 뢀여받은 log4j 취약점은 Apache의 "Log For JAVA"이름을 가진 말 κ·ΈλŒ€λ‘œ JAVA 기반 λ‘œκΉ… ν”„λ ˆμž„μ›Œν¬λ‘œ κ°œλ°œμžλ“€μ΄ 디버그 μš©λ„λ‘œ 많이 μ‚¬μš©ν•˜κ³  μžˆλŠ” 만큼 곡격에 희생될 수 μžˆλŠ” λ²”μœ„κ°€ λ„ˆλ¬΄ λ„“μŠ΅λ‹ˆλ‹€. κ΅­λ‚΄ μ „μžμ •λΆ€ν‘œμ€€ ν”„λ ˆμž„μ›Œν¬μ˜ 3.1 ~ 3.10 λ²„μ „μ—μ„œ log4j 2.0 ~ 2.12.1을 μ‚¬μš©ν•˜κ³  μžˆλŠ” 만큼 ν•΄μ™Έ/κ΅­λ‚΄λ₯Ό 가리지 μ•Šκ³  μ—¬λŸ¬ 개발자, λ³΄μ•ˆλ‹΄λ‹Ήμž, μ—”μ§€λ‹ˆμ–΄λΆ„λ“€μ΄ λ§Žμ€ 수고λ₯Ό 해주셨을 κ²ƒμœΌλ‘œ νŒλ‹¨λ©λ‹ˆλ‹€. μ „μžμ •λΆ€ ν”„λ ˆμž„μ›Œν¬: https://www.egovframe.go...

WEB