분류 전체보기 (61) 썸네일형 리스트형 Ajax란? -(동기,비동기) 웹페이지가 get요청을할때 ajax를 사용하지않으면 요청을 리스폰하기전까지는 무언가를 못한다 즉 동기적으로진행한다하지만 Ajax를 사용하면 get요청을할때 리스폰하지전까지 웹페이지에서 무언가를 할수가있다. 즉 비동기적으로한다 동기란? 작업이 여러개일때 순차적으로 처리하는것을 말한다 클라이언트가 서버에 데이터를 요청할때 응답을 받을때까지는 아무것도못한다 예를들면 커피를 주문할때 앞사람이 커피를 다받을때까지 기다려야하는상황이다 비동기란? 작업이 여러개일때 순차적으로 처리하지않는것을 말한다 클라이언트가 서버에 데이터를 요청했을때 응답을 받기전까지도 다른요청을더 할수있다 예를들면 커피를 주문하고 진동벨을 받고 커피를받지않은상태에서도 뒷사람은 커피를 주문할수있는 경우이다. ajax를 사용하지않으면 get요청을할.. JPA란? JPA을 알기위해 ORM이라는것을 알아야한다ORM이란? 프레임워크가 객체와 테이터베이스의 테이터를 자동으로 매핑(연결)해주는것을 말한다객체 지향 프로그래밍은 클래스를 사용하고,관계형테이터베이스는 테이블을 사용한다ORM을 통해 객체간의 관계를 바탕으로 SQL을 자동으로 생성하여 불일치를 해결한다즉 JAVA언어만 사용하여 DB를 컨트롤할수있는걸 말하는거같다 JPA란 자바에서 사용하는 ORM기술 표준이다JPA는 자바애플리케이션과 JDBC사이에서 동작하며 자바인터페이스로 정의되어있다 인터페이스란 일종의 매개체이다 소프트웨어사이에서 정보나 신로를 주고받을수있도록해주는것이다 영속성 컨텍스트란? 영속성은 데이터를 DB에 영구적으로 저장하는것을 말한다컨텍스트는 모든정보를 말한다컨텍스트를 넘겨준다=모든정보를 넘겨준다즉 영속성 컨텍스트는 DB에 저장해야하는 모든정보를 알고있는것이다,데이터베이스에 왔다갔다하는 모든것을 알고있다JAVA에서 데이터를 DB로 보낼때는 항상 영속성컨텍스트에 담아 보낸다 진짜 모든정보를 다가지고있다 트랜잭션이란? 트랜잭션은 데이터베이스에서 하나의 작업단위를 말한다 예를 들면 송금서비스가있다고 하자 A가 B한테 10만원을 보낸다그러면 A계좌에서 10만원을 빼야한다그리고 B계좌에 10만원을 더해야한다 하지만 A에서는 10만원을 빼고나서 데이터베이스에서 오류가발생하면 B는 10만원을 받지못하고 A는 10만원을 잃게된다 이러한 것을 방지하기 위해서는 트랜젝션을 사용한다 만약 이런 오류가발생하였을때는 A에 다시 10만원을 더하여 원상태로 복구시킨다 이것을 rollback이라고 한다 만약 오류가 발생하지않고 정상적으로 송금에 성공하였을때는 commit이라고한다 JDBC란? DBMS마다 함수나 사용하는방법이 다르다 그러면 DBMS를 바꾸는경우 코드를 많이 수정해줘야한다 그런상황을 방지하기위하여 JDBC라는것을 사용한다 JDBC의 맞춰 코드를 짜면 자기가 사용할 DBMS의 JDBC드라이버를 설치하여 연결해주면 JDBC가 알아서 해당DBMS를 사용할수있게 해준다 즉 JDBC는 통역기 같은 거다 API란? 한 프로그램에서 다른 프로그램으로 데이터를 주고받기 위한방법api=메뉴판예를들면 웹툰서비스 API는 웹툰서버와 손님이 웹툰을 주고받기 위한방법(코드) DB에서 웹툰을뽑아서 보여준다이 코드가 API이다 유저에게 이걸 알려준다(설명서느낌) API가 가져야할내용:요청방식이 들어가야한다 예를등명 GET요청 같은거어떤자료를 요청할지 들어가야한다자료요청에 필요한 추가정보를 파라미터에 넣는다 예를들면 내아이디,이름,몇화 보고싶은지 같은거등등 웹의 경우 REST API라는 원칙에따라 작성하면 좋다(방법론) URL이 API요청하는 공간이다 링크또한 API요청하는 공간이다 HTML 태그및 속성 정리 : 해당 웹페이지안에 다른 html을 불러와서 삽입하는 태그이다srcdoc : src는 문서를 연결하는거와달리 srcdoc는 문서의 내용을 직접입력할수있다 선을 그어준다 공백을 만들어준다 아무런의미가 없는태그로 범위를 나누기위한태그이다 기본택스트와 다른생김새의 택스트로 만들어주는 태그이다 Bypass WAF 웹방화벽 우회 기법 and DBMS별 우회 기법 1.SQL은 대소문자를 구별하지못한다 EX)SeleCT=SELECT2.악성키워드가 들어오면 공백으로 치환하는 경우도 있다 EX)UNunionION 에서 union이 공백으로 처리되어 UNION으로 완성된다3.문자열 우회 EX) reverse('nimda') 또는 concat('adm','in') 또는 문자열을 16진수로 표현하여 x'61646d696e'또는 0x61646d696e 로 admin을 표현할수있다4.연산자 우회 EX) and를 &&로 or을 ||으로 우회할수있다 이외에도 다른연산자들을 우회할수있다5.공백 우회 EX) SELECT/**/'abc';=SELECT 'abc';와 같다 그리고 (')을 사용하면 공백처리를 할수있다6.mysql에서만 가능한 문자열우회 EX) select mid(@@ver.. XSS 우회하는 방법 모음 1. 문자열 치환될때 : XSS키워드를 필터링할때 단순하게 치환 혹은 제거하는방식의 필터링이 존재한다 이경우 scrscriptipt로 입력하면 script가 필터링되어 script로 만들어낼수있다 EX) 에서 onerror에가 제거되면서 로 변한다2.특수문자를 사용하여 우회하기 EX) "\1\4jAVasC\triPT:alert(document.domain)">Click me! 를 입력하면 \뒤에 있는 값이 제거되어 "jAVasCriPT:alert(document.domain)">Click me!와 똑같아진다3.html entity 인코딩을한다 예를들면 같은 특수한기호들을 속성내에 넣을때 잘못인식할수도있으므로 html entity인코딩이라는것을 만들었다 그래서 html에서 인코딩한값을 넣으면 디코.. XSS공격 가능한 태그,속성 모음 1.script EX) 를입력하면 XSS공격성공이라고 써져있는 alert가 뜬다2.onload EX) img src="https://dreamhack.io/valid.jpg" onload="alert(document.domain)"> 를 입력하면 태그가 요청하는 데이터를 로드한후 웹페이지의 도메인이름을 띄어준다3.onerror EX) img src="valid.jpg" onerror="alert(document.domain)"> 를 입력하면 태그가 요청하는 데이터를 로드하는데 실패하면 웹페이지의 도메인이름을 띄워준다 즉 onload와 반대되는 태그이다onfocus EX) input type="text" id="inputID" 4.onfocus="alert(document.domain)" auto.. 이전 1 ··· 3 4 5 6 7 다음
