반응형 java 보안3 [시큐어코딩]Java에서 신뢰되지 않은 역직렬화 취약점, 왜 위험하고 어떻게 막을까? 객체만 전송했을 뿐인데, 서버가 해킹된다면 믿기시나요? 역직렬화 취약점은 그런 가능성을 현실로 만듭니다.안녕하세요, Java 백엔드 개발과 보안 시큐어코딩을 적용하시는데 어려움이 많으시죠. 오늘은 실무에서도 자주 등장하지만 놓치기 쉬운 역직렬화(Deserialization) 취약점에 대해 설명드립니다. 이 취약점은 단순히 데이터를 객체로 변환하는 과정에서 발생하지만, 악의적인 객체를 역직렬화할 경우 원격 코드 실행(RCE)까지 이어질 수 있는 심각한 보안 위협입니다.이번 포스팅에서는 직렬화와 역직렬화의 구조 차이를 먼저 이해하고, 실제 취약한 코드 패턴과 공격 흐름, 그리고 Java 환경에서의 안전한 대응 패턴까지 함께 살펴보겠습니다.📌 바로가기 목차1. 직렬화 vs 역직렬화, 구조와 차이점 2. 역직.. 2025. 4. 17. [시큐어코딩]Java에서 XML 외부 개체(XXE) 취약점 안전하게 막는 방법 XML 파싱이 보안 취약점이라고요? 작은 설정 하나로 외부 시스템 파일이 노출될 수 있습니다. Java에서도 XXE 취약점은 절대 예외가 아닙니다.안녕하세요, 시큐어코딩을 기반으로 Java 및 Spring Boot 보안에 다들 관심이 많으실 껄로 아는데요. 오늘은 많은 분들이 의외로 놓치고 있는 보안 이슈, XML 외부 개체(XXE: XML External Entity) 취약점에 대해 살펴보겠습니다. 특히 Java 11 이상의 환경에서는 다양한 XML 파서(DOM, SAX, JAXB 등)가 존재하고, 개발자 설정 실수 하나가 민감한 내부 파일을 외부로 노출시킬 수 있습니다.이 포스팅에서는 XXE가 무엇이고, 어떤 방식으로 공격이 발생하는지, 그리고 Java 환경에서 안전하게 막는 방법까지 실무 중심으로 .. 2025. 4. 16. [시큐어코딩]Java에서 CSRF(크로스사이트요청위조) 취약점 완벽 대응 가이드 웹 보안에서 CSRF(Cross-Site Request Forgery)는 사용자가 의도하지 않은 요청을 실행하도록 유도해, 권한 탈취 및 시스템 변경을 유발할 수 있는 치명적인 공격 방식입니다. 이번 포스팅은 Spring Boot 기반 환경에서 CSRF 공격이 어떻게 발생하는지, 그리고 이를 실무에서 어떻게 방어할 수 있는지를 중점적으로 다룹니다.안녕하세요, ICT Leader입니다. CSRF는 로그인된 세션을 활용해 사용자의 권한을 도용하는 공격으로, 보안 설정이 기본으로 포함된 Spring Security 환경에서도 종종 비활성화되거나 잘못된 설정으로 인해 문제가 발생합니다. 이 글에서는 CSRF 공격의 원리, 취약한 코드 예제, 그리고 Spring Security 기반의 안전한 설정법까지 보안 전문.. 2025. 4. 9. 이전 1 다음 반응형
