본문 바로가기

session4

[취약점] 세션 간 데이터 누출 개발 과정에서 사소하게 지나칠 수 있는 세션 간 데이터 누출 중 빈번하게 실수하는 예시를 작성하였습니다..일반적으로 JSP를 통해 개발할 경우 3가지 방법으로 선언이 가능합니다.- 스크립트릿(): 지역변수이며, 상단에 선언하여 업무 로직 작성(지역 변수)- 표현식(): 선언된 값을 표시하기 위한 표현식(표현식)- 선언문(: 페이지 안에서 사용할 수 있는 멤버 변수, 함수 생성(공유)선언문은 쓰레드에 종속적인 관계이기 때문에 스크립트릿과 선언문에 기능적 차이를 명확하게 할 필요성 있습니다.아래 간단하게 작성된 코드가 있습니다.위 코드를 기준으로 새로고침할 경우 스크립트릿 변수는 초기화되지만, 선언문에 포함된 변수는 동일한 쓰레드일 경우 초기화되지 않습니다.스크립트릿(Scriptlet)페이지마다 변수가 초기.. 2024. 6. 5.

톰켓 MariaDB를 이용한 세션 관리 톰켓을 이용한 클러스터링을 구성을 하게 된다면, 고정되어 있는 서버의 경우 TCP로 설정이 가능하지만, 클라우드 관점에서 스케일 In/Out(동적으로 변화) 작업이 이루어진다면 세션을 관리하기가 어려워진다. 대중적으로 Redis기반의 세션 관리를 많이 구성하고 있었지만, 현재 마리아 디비를 데이터베이스를 사용하고 있는 환경이기 때문에 마리아 디비를 기준으로 설정하였다. 톰켓 8.5의 경우 하위 버전의 경우 org.apache.catalina.session.DataSourceStore 가 없을 수 있으므로, 클래스를 찾을 수 없다고 표시된다면 버전 확인이 필요하다. 테이블 생성 create table tomcat_sessions ( session_id varchar(100) not null primary .. 2022. 1. 21.

[TOMCAT] 톰캣을 이용한 세션 공유 설정(UDP 대신 TCP) Tomcat - TCP를 통한 세션 공유 설정 기본적으로 Tomcat에서 가이드하고 있는 세션 공유는 방법은 UDP를 통한 공유이지만, UDP 설정이 불가능한 경우 진행할 수 있는 TCP 설정 방법이다. TCP 방식으로 진행할 경우 서버 정보는 고정되어 있어야 한다. 서버 및 포트 정보 서버 PORT TCP/UDP 용도 AP1(10.10.10.1) 4055 TCP 세션 정보 수신 AP2(10.10.10.2) 4055 TCP 세션 정보 수신 설정 파일(server.xml)에 중에서 세션 공유 설정에 대한 AP1, AP2의 전반적인 내용을 아래 추가하였지만 실제 내용은 유사하며, 중요한 것은 세션 정보 수신 서버 정보이다.(한 서버에 여러 Tomcat으로 구성된 경우 포트 수정 필요) -- 대상 서버 고유 .. 2022. 1. 3.

Oracle Session 현황 SQL Oracle Session 현황 SQL 세션에 연결된 SQL SELECT a.username, a.sid, a.serial#, a.osuser, b.tablespace, b.blocks, c.sql_text FROM v$session a, v$tempseg_usage b, v$sqlarea c WHERE a.saddr = b.session_addr AND c.address= a.sql_address AND c.hash_value = a.sql_hash_value ORDER BY b.tablespace, b.blocks 테이블 스페이스 사용량 select se.username, sum(su.blocks*ts.block_size/1024/1024)mb_used from v$sort_usage su, v$se.. 2020. 1. 31.

이전 1 다음

티스토리툴바