본문 바로가기

JAVA

Apache Struts2 보안취약점 1. 개요- 해외 사이트에서 Apache Struts2 보안취약점(CVE-2016-3081)에 대한 개념증명(PoC) 코드가 공개되었고,공개된 정보에 따르면, “struts.enable.DynamicMethodInvocation = True”로 설정되어 있을 경우원격지에서 조작된 HTTP Request를 통하여 웹 서버의 OS 명령어 실행이 가능함 2. 영향 시스템 : Apache Struts 2.0.0 ~ 2.3.28 (except 2.3.20.2 and 2.3.23.2) 3. 조치방법 - struts.enable.DynamicMethodInvocation = False 로 변경 ※ 기본은 False 인 것으로 확인되며, 설정변경 시 서비스영향도 확인 필요- 안전한 버전으로 업그레이드 (Struts 2.. 더보기
node.js 및 python 등의 서버 스크립트 언어의 eval 취약점 node.js 및 python 등의 서버 스크립트 언어의 eval 함수를 공격자가 악용하는 취약점이 공개되고 있습니다. 첨부된 파일을 참고하셔서 안전한 어플리케이션 개발하시길 바랍니다. 더보기
FindBugs Bug Descriptions(한글) 가끔씩 뭔말인지 모르겠어서 찾아 보다 일어로 되어 있는 것이 있어 구글신의 도움으로 한글화 했음. FindBugs Bug Descriptionsthis Document lists the Standard BUG patterns Reported by FindBugs version 3.0.1.Summary DescriptionCategory BC : equals 메소드는 인수의 형태를 가정하지 말아야Bad practice BIT : 비트 연산 부호를 확인Bad practice CN : Cloneable를 구현 한 클래스가 clone 메소드를 정의하지 않거나 사용하지 않는Bad practice CN : clone 메소드가 super.clone ()를 호출하지Bad practice CN : Cloneable를 구.. 더보기
가비지 컬렉션... JDK 1.4 를 쓰던 시절, GC 수행시 메모리 반환을 하도록 하기 위해 다 사용한 Object 는 null 로 만들었습니다. 오래된 기억이지만, 당시 JDK 의 버그로 인해서 이런식의 코드를 작성했던 것으로 기억합니다. 이후 버그가 수정되어 더이상 사용하지 않는 Object 를 null 로 만들 필요는 없지만, 그래도 null 로 바꾸는 것이 더 좋을 것 같습니다. http://www.developer.com/java/doing-garbage-collection-in-java.html 에 작성된 내용으로 보면, 가능은 하지만 많은 오버헤드가 발생한다고 되어 있네요. 더보기
Ubuntu 에 Grails 설치하기 Install GVM jee1@jee1-6700:~$ sudo apt-get install curl jee1@jee1-6700:~$ curl -s get.gvmtool.net | bash restart terminal , then : jee1@jee1-6700:~$ gvm install grails 2.4.3 jee1@jee1-6700:~$ gvm use grails 2.4.3 if you want permanently use a version, instead of gvm use run gvm default ; jee1@jee1-6700:~$ gvm default grails 2.4.3 설치할 버전은 최신 버전으로... 더보기
공공데이터를 사용하려면 자바버전을 강제 하는군요. 공공데이터 사이트(www.data.go.kr) 에서 제공하는 데이터를 사용하기 위해선 키를 생성해야 합니다. 키 생성을 위한 툴을 사이트에서 제공해주고 있습니다. 이 키 생성 툴은 자바로 만들어진 툴로, exe 형식의 실행파일로 되어 있습니다. 받아서 키를 생성하려고 하니, 아래 화면과 같은 메세지가 뜹니다. JRE 를 하나 더 설치하면 됩니다. 하지만, JAVA8 이 나온 시점에 아직도 1.6.4 까지만 사용이 가능하다니 너무 하네요.오라클에서도 보안 문제로 인하여 계속 자바 업데이트를 하고 있습니다. 1.6 버전은 업데이트 45까지 나와 있구요. 키만 생성하고 JRE 를 삭제하면 되겠지만, 근본적으로 OLD 버전만 지원한다는건 문제가 있습니다.공무원을 탓하고 싶지 않습니다. 그들은 개발자가 아니라 일.. 더보기
Vert.x 가 좋다! (제 3회: Event Loops와 Verticle Instances) 아래 글은 일본의 acro-engineer.hatenablog.com 사이트에 올라온 글을 번역한 것입니다. 사내 세미나 준비를 하면서 매우 많은 도움을 받은 사이트입니다. Vert.x 에 대해 이해하기 쉽게 작성되어 있어 관심있는 분들께 도움이 되길 바라는 마음에 번역해서 올립니다. ※ 번역은 구글이 했습니다. 전 단지 문맥상 이상한 것만 수정했을 뿐입니다.id:KenichiroMurata 입니다.여러분, Vert.x 사용하고 있습니까?"Vert.x가 좋다! (제 2 회 : 개발 환경 구축) - Taste of Tech Topics"에 이어 이번에는 Vert.x 의 Event Loops와 Verticle Instances에 대해 작성했습니다.목차는 다음과 같습니다.Vert.x 's ThreadsEven.. 더보기
Vert.x 가 좋다! (제 2회: 개발 환경 구축) 아래 글은 일본의 acro-engineer.hatenablog.com 사이트에 올라온 글을 번역한 것입니다. 사내 세미나 준비를 하면서 매우 많은 도움을 받은 사이트입니다. Vert.x 에 대해 이해하기 쉽게 작성되어 있어 관심있는 분들께 도움이 되길 바라는 마음에 번역해서 올립니다. ※ 번역은 구글이 했습니다. 전 단지 문맥상 이상한 것만 수정했을 뿐입니다.id:KenichiroMurata 입니다.여러분 Vert.x 를 사용하고 있습니까?Vert.x 가 좋다! (제 1회: 입문) 에 이어 2회째가 되는 이번엔 개발 환경 구축에 대하여 작성합니다.목차는 다음과 같습니다. environmentinstallsettinggradle project templateauto redeoployremote debugg.. 더보기