Oracle에서는 all_source 를 통해서 db에 존재하는 Object를 파악 가능해 프로그램이 어떻게 구성되어있는지 파악이 쉽다.하지만, mysql에서는 해당 기능을 제공하지 않기때문에 아래 쿼리를 이용해 대신 사용 및 구현SELECT ROUTINE_SCHEMA, ROUTINE_NAME, a.* FROM information_schema.routines a WHERE LOWER(ROUTINE_DEFINITION) LIKE '%objects%';

쿼리문을 전달하여 수행하는 프로그램이 존재 한다면, 해당 프로그램을 이용하여 mysql 관련 정보를 획득 할 수 있다.   Mysql 계정 및 서버 정보 획득 쿼리문 전달  서버 요청  request 의 파라미터 중 일부 값을 'mysql.users' 등 존재하지 않는 테이블의 값으로 변조 후패킷을 전송하면  서버응답(Resopnse) 패킷을 통해서 mysql 계정 및 서버 ip 주소를 반환하는 내역을 확인 할 수 있다.(변조 툴은 Burp Suite을 사용) ---> 존재하지 않는 테이블을 조회하려고 하니 sql 문법에 맞지 않기때문에 exception이 발생되고 그 과정에서 계정 및 서버 ip가 노출되고 있다 Mysql 버전 정보  획득쿼리문 전달  서버 요청  request 의 파라미터 중 쿼리 전..

문제 발생 API 호출 테스트를 위해 Postman에서 API 문서 가이드에 적힌 대로,  헤더값과 Body 값을 json으로 세팅 후 호출을 진행했다. 근데 400 Bad Request Error가 발생했다  분명 Header에 인증받은 Authorization 과 Content-Type 을 ' application/json' 로  설정했는데, 무슨 데이터가 잘못 세팅되었길래 400 에러가 발생하는걸까??? 라고 멘붕에 빠짐... 원인 분석 아무리 봐도 잘못된게 없었음.가이드 문서 그대로 json 파라미터 값을 복사해서 postman에 불어넣기 했는데.......TT API 가이드 문서에 샘플로 존재하는 json 을 복붙해서 수행했는데, 다른 분은 수행이 된다고 하셨다. 그래서 해당 body를 받아서 ..

JWT란?토큰 인증 방식으로 기존 세션 인증방식과는 달리 stateless 한 인증 방식이다. 기본적으로 JWT 라이브러리가 다양하게 존재하는데, JAVA에서는 Java-jwt 와 jjwt 라이브러리를 많이 사용한다.(개인적으로  Auth0에서 개발한 java-jwt가 직관적이여서 사용하기 편하다고 느껴진다.) 자세한 내용은 아래 블로그를 참조https://dalichoi.tistory.com/entry/JWT-%ED%86%A0%ED%81%B0-%EB%9D%BC%EC%9D%B4%EB%B8%8C%EB%9F%AC%EB%A6%AC-java-jwt%EC%99%80-jjwt-%EA%B0%84%EB%8B%A8-%EB%B9%84%EA%B5%90 JWT 토큰 라이브러리 java-jwt와 jjwt 간단 비교경험이 많지 ..