웹 개발과 관련된 모든 것들

우리집

EF 쏘나타에 액정없는 4개 키 짤 발견...

메뉴얼 급히 검색 후

잇힝 ~

빙고

 

WHA-VE1010G IH

하하... 살균제의 유해성이 발표된 지금...

자연식 가습기.. 가열식 가습기...

고민...

아무래도 아기가 있으니 자연스럽게 자연식으로 솔리고...

LG전자 휘센 LAW-B040PP

이넘으로 생각중...

http://shopping.naver.com/detail/detail.nhn?cat_id=00050503&nv_mid=5953821718&tc=4

  

차일드락 기능이 가장 꽃힘 !

울 애기는 이제 돌 지났는데 버튼을 보면 환장함 -_-ㅋ

문제는 가격...

아 고민중...

25만냥인디...

어디 싸게 파는데 없냥... 

FogBugZ

프로젝트 버그 관리 툴 1인 무료...

http://www.fogcreek.com/fogbugz/

주제 : egovframe 환경구성과 HTML5 개발
내용 : 전자정부 표준프레임워크 개요, egovframe 환경 구성 및 샘플 코드 리뷰
발표자 : 허광남 팀장님... www.okjsp.pe.kr 만드신분 !

제목과 같이 정기 기술 세미나는 14차이나

어제 처음으로 참석했다

사실 egovframe (이가브프레임워크)로 읽는 이놈에 대해 관심이 생겨 찾아간 세미나였음.

간단하게 어제 들은 내용을 정리한다...

강의는 졸립지 않을정도 재미가 있었고,

허팀장님의 콧수염(?)이 멋져보였어요~

egovframe을 시작하기 위해서는

http://www.egovframe.go.kr/

행정안전부 전자정부 프레임 워크 사이트에 가자 !

상단의 메뉴중 가이드 -> 초보자 가이드로 시작함 ~

사실,

표준 프레임워크 개인적으로 무지 생소하기도 하지만,

허 팀장님이 말씀해 주신건... 전부다 알려고 하면 힘들꺼다... 필요한것은 그때 그때 찾아서 하면된다 !

따라 해보기를 계속 권장해 주셨음...

사실 jdk 1.6이상으로 설치하고  visual VM 관련도 같이 알려주었으면 조금더 좋았으리라 생각한다...(리스스 조회 및 관리 등)

난 뭐... 개발보다는 인프라 담당이다 보니... 크크...

관심 같는것도 신기하긴 하지만 뭐든지 알면 도움이 되는거니깐...


* 알아야 할 사항 (숫자는 단계별로 생각하면 됨)
   1. 전자정부 프레임워크 개요
   2,3 maven(빌드도구), Elipse(통합개발환경)
   3,4 SVN(버젼관리) Hudson(형상 유지 관리) => CI(Contiguous Integration)라고 부름..
   5 FrameWork (springFrameWork, Mybatis(마이바티스-> 아이바티스가 이름을 바꿨다고 함.)/iBatis(아이바티스), jQuery)

maven(메이븐)은 pom.xml이 제일 중요함
pom : Project Object Model

참고로

JUnit 를 강조하셨다... TEST 자동화를 할려면 꼭 필요하다고 했다

뭐.. 잠깐 보여줬지만, expect...예상되는... 결과와 실행결과를 비교하여 보여주기도 했고

Rerun 이라는 기능을 사용해 바로 결과를 보여주었다...

자...

본인이 초보자라면

무조건 ! 3번이상 행안부 표준 프레임 워크 초보자 가이드를 3번이상 똑같이(?) 해보라

또한 설치가 D라면... 크크... 디스크 새로 사서 꽃아라(?) 라는 의미심장한 얘길 해주셨다..

뭐...

VMPlayer(가상 window 시스템으로 VMWare에서 나오는 것인데.. 작은 기능에 개인 무료로 알고있다...[가물...])으로 가상으로 디스크 2개인것 처럼 꾸며도 괜찮을꺼 같다...

jQuery 와 센차(?? 처음들봄...) 비교하면

jQuery 는 모바일 상관없이 UI가 일정하며, 접근이 쉽고, 고 수준으로 가야 javascript를 만남 그러나 ! 비교적 스킨이 없으며,  UI 콘트롤이 힘듬반면
센차는... UI 뛰어나고, 자바스크립트를 열쉬미 해야함.

즉, 공공기관같은 곳에 표준을 맞추려면 jQuery가 좋다는 것이다

위에 까지가 egovframe 내용이었고...

사실 html5는 관심 없는 분야라...

들었떤 내용을 대략적으로 정리해본다...

아직 beta 버젼이고... 정식 1.0은 없고

html5 개발시... www.html5test.com 사이트에서 점수가 높은 브라우져(현재는 구글)을 쓰라

firefox 를 사용할 때는

아래의 부가기능을 쓰기를 추천.
1. firebug(파이어버그) : 각 dom 객체등 요소들을 조작 가능한 녀석...
    브라우져 상에서 수정할 내용의 마우스 우클릭 -> 요소검사 수행
    net 기능을 사용하면 각 요소들 loading (Server <--> Client PC) 호가인 가능

2. selenium(쉘레니움) : www.seleniumhq.org 이나.. 부가기능 검색하면 너무 많이 나와서.. 뭘 설치할지 모름 -_-ㅋ
    기능은 브라우져 상에서 했던 작업들을 기억하고 반복적으로 수행가능함.
    즉, 어떤 요소를 수정하고 똑같은 작업을 시행해 볼수 이씀.... 또한 ! 원격 분산 테스트도 가능(?)하다고 함.

about:mozilla : 모질라 역사가 나옴.

신기한건... html5에서는 browser에서 select문을 날릴수 있다는 것이었다...

보안에는 어떤지 궁금하기도 했다...

뭐.. 중간 RSE 기능에 대해서도 나왔지만... 난 이미 사용중이었고...

아쉬운 점은

질의 응답이 없다는 거다....

하하하...

다음에 또 들어야 겟음...

출처 : http://isecure.tistory.com/20

Burp Suite

1. 개요

1) Burp suite 는 web application 을 공격하기 위한 통합 플랫폼/local proxy program

2) Web application 의 분석 , 스캔 (취약점 파악)이 가능

3) Linux , Windows 모두 사용 가능

4) 최근에는 취약점 진단 툴로 많이 사용(웹 취약점 진단 도구)

2. 설치 및 실행

1) Burp suite 를 실행시키기 위해서는 JVM(Java Virtual Machine) 이 필요하므로 자신의

시스템에 설치되어 있는지 확인 (없으면 다운로드)

- cmd 창에서 java 나 java -version 을 입력하고 엔터

* java 라고 입력했을 경우 java 명령어 사용법이나 옵션들이 출력 또는

java -version 을 입력하면 설치한 jre 나 jdk 의 버전이 출력

- JVM 이 없을 경우 다운로드

* Burp suite 를 실행만 시킬 목적이라면 JRE 다운로드

* 확장 plug 를 사용하기 위해 컴파일도 할 목적이라면 JDK 를 다운로드

(Burp Suite 는 Java program 임)

2) Burp suite 다운로드

http://portswigger.net/suite/download.html 또는

http://www.darknet.org.uk/2007/01/burp-proxy-burp-suite-attacking-web-applications/

3) 설치

- 압축 파일일 경우 압축을 풀면 suite 배치 파일이 있다.(suite.bat)

- suite.bat 을 더블 클릭하거나 cmd 창에서 java -jar -Xmx512m burpsuite_v1.2.01.jar 입력

3.기능

1) proxy : end browser(burp suite 를 사용하는 client 측) 와 target web application

(공격/테스트할 웹 사이트) 사이에서 HTTP/HTTPS 를 가로채는(중계하는) proxy server

2) spider : Web application 의 내용(컨텐츠나 기능 등) 을 목록화(열거)해서 보여줌

3) scanner : Professional 버전에서만 지원되는 기능으로 web application 의 보안 취약점을

찾아주는 기능

4) intruder : Web application 에 대해 식별자(identifier) 목록화 , 유용한 데이터 수집 , 일반적인

취약점 수집과 같은 커스터마이즈된 공격을 하도록 설정할 수 있는 기능

5) repeater : 수동으로 조작하고 , HTTP request 재발행 , application 의 response 분석하는 기능

6) sequencer : application 의 session token 이나 다른 중요 data 에 대해 임의로 quality

분석하는 기능

7) decoder : Web application 의 data 를 encoding , decoding 하는 기능

8) comparer : 어떤 두 개의 데이터( 보통은 request 와 response 쌍을 의미) 의 "diff" 를 수행하기

위한 기능

(Burp suite 의 proxy 설정은 아래 Burp proxy 참고)

자세한 사항은 영문이지만 http://portswigger.net/suite/help.html 를 참고

Burp Proxy

1.개요

1) Burp Proxy는 web application 을 공격 또는 테스트하기 위한 대화형 HTTP/S 프록시 서버

2) Burp Proxy는 end browser 와 target web server 사이의 중간자로써 작동하며 양방향(end

browser 에서 server 로 , server 에서 end browser 로) 지나가는 raw traffic 을 가로채거나

검사, 수정 가능

3) Burp Proxy으로 web server 에서 전송된 data , 중요 파라미터를 모니터링하고 조작하여

application 취약점을 발견 가능

4) 다양한 악의적인 방법으로 browser 의 요청(request) 를 수정함으로써 공격 가능

(예 : SQL 삽입 공격 , cookie 변조 , 권한 획득 , session hijacking , 디렉토리 접근 ,

buffer overflow 등)

2.특징

1) 완전한 HTTP/HTTPS proxy server

2) 파라미터,헤더,다양한 미디어 컨텐츠 ,hex 편집 등 모든 요청(request)과 응답(response)에 대한

상세 분석 및 반환

3) 모든 요청 , 수정 , 응답에 대한 완전한 history 제공

(모든 요청을 조작할 수 있도록 browser 에서 보낸 모든 요청, 응답에 대한 완전한 history 유지)

4) Burp suite 내 다른 tools 와 완전한 통합 (intruder , spider , scanner 등)

5) downstream proxy server ,web server 인증 , NTLM(Windows NT LAN Manager) 인증 ,

Digest 인증 지원

6) HTTP 요청과 응답의 정규화 기반의 조작을 자동화

7) SSL 지원

8) HTTPS traffic 을 clean-text 로 보거나 수정 가능

9) Linux / Windows 에서 실행 가능

10) Burp Proxy 는 Burp Suite 의 일부분

3.Burp Proxy 사용

1) Burp Proxy 는 기본적으로 loopback 인터페이스 , 8080 포트 사용

2) Burp Proxy 의 작동을 위해 browser 에서 proxy server 를 127.0.0.1 , 포트를 8080 으로 설정

- Browser 메뉴 중 "도구" 선택

- "인터넷 옵션" 선택

- "연결" 탭 선택 후 "LAN 설정" 버튼 클릭 (아래 스샷 참고)

- 아래와 같이 프록시 서버 설정하고 "확인"

3) Burp suite 실행

4.기능

1) Intercept 탭

- intercept 탭은 browser 의 요청과 server 의 응답을 보여주고 수정하기 위해 사용

* "proxy" 탭 클릭

* "intercept is off" 일 경우 클릭해서 "intercept is on" 으로 설정

* web browser 실행(URL 을 입력해서 페이지 요청하기)

* Burp Proxy 가 browser 와 web server (또는 application) 사이에서 request 와 response를

intercept 하고 있으므로 다음 단계(다음 페이지)로 진행하기 위해서 forward 버튼을 클릭

(intercept 한 메시지를 버리려면 drop 버튼 클릭)

* raw : plain text 형식으로 표시.text pane 하단부에 정규식 기반(regex : regular expression)

탐색과 중요 메시지를 포함하고 있는 string 이 표시

(아래는 모 사이트에 로그인할 때 intercept 하고 있는 정보)

* params : parameter(name 과 value 쌍으로 구성된 URL Query string , Cookie header ,

message body 등) 를 포함하고 있는 request 출력

* headers : HTTP header 정보를 name 과 value 쌍으로 출력

(아래 텍스트박스에 intercept 한 정보 중에 검색하고자 하는 것을 입력하면 자동 매칭)

* hex : raw binary data 를 보여주고, 편집 가능(편집할 경우에는 hex 에디터를 사용)

2) action

- 다양한 action 을 수행하기 위해 사용하는 기능

- text pane 에서 마우스 우클릭 또는 action 버튼을 클릭

text pane 에서 마우스 우클릭했을 경우

action 버튼 클릭했을 경우

3) send to XXX : 메시지 또는 메시지 일부를 공격/분석하기 위해 Burp Suite 의 다른 tool 로 송신 가능

4) change request method : HTTP 메소드 변경 가능

(자동으로 GET -> POST , POST -> GET 으로 변환)

change request method 실행 전

change request method 실행 후