요새 시끄러운 log4j2 공격… 요새 Log4J2 취약점 때문에 난리다. 사실 이 이슈가 알려진건 좀 되었다. (물론 일주일 전에 오픈된거로 알고 있긴 하지만…) 보안쪽은 이런 큰 문제가 터지면 바로 대응해야 한다. 조금만 늦게 대응하는 순간 비트코인 마냥 추락하는 거대한 손실을 껴안을 수 있다. 개발쪽은 역시 부지런해야 살아남는듯… 사설이 길었다. 이번 이슈에 대해서는 많은 사람이 적었기에 따로 언급은 안하겠다. 정 궁금하신 분은 이곳 KISA 에서 확인해보기 바란다. 나는 현재 개인적으로 돌리는 서비스가 있는데 Spring boot 기반으로 되어 있다. 저 이슈보자마자 바로 문제가 생기겠구나 싶어서 확인했다. 처리는 금방 했는데 블로그에는 좀 늦게 올리게 되었다. 어떻게 공격이 들어오는가? 일단 불법적으로 들어오는 것들을 조사하는 로그 서버에서 이런 결과가 들어있었다. 동작 방식은 사실 대충 알고, 자세하게 동작하는 방식은 popit 게시글을 참고하자. (여담인데 난 원…

주의 이 문건은 과거 Hexo 블로그 (2019-06-22) 에서 이동된 문서입니다. 시간이 지남에 따라 최신 기술과 다를 수 있으니 주의 바랍니다. Spring boot에서 H2 데이터베이스 사용하기 정말 오랜만에 포스팅을 남긴다. 이직 후 블로그를 정리할 시간도 없이 다양한 프로젝트를 진행하였다. 하면서 쌓은 경험들이나 작성할 것들이 Notion에 산더미처럼 쌓여있다. 이제부터 하나씩 정리를 하면서 포스팅을 다시 열심히 해볼 예정이다. 각설하고… 첫 포스팅은 H2 데이터베이스를 붙여보는 부분이다. H2? H2는 자바 기반의 RDBMS이다. 브라우저 콘솔 지원, 저용량 (2MB), JDBC API 지원 등 다양한 장점을 가지고 있다. 이런 장점들 덕에 테스트 DB로 많이 쓰인다. 나도 포스팅을 하면서 JPA 등을 테스트 하기 위해 H2를 설정을 하였는데 이번 포스팅에서는 이 H2를 Spring boot에 붙이는 것에 대해 알아보려 한다. H2에 대해 더 알고 싶은 분은 공식 홈…

주의 이 문건은 과거 Hexo 블로그 (2019-01-31) 에서 이동된 문서입니다. 시간이 지남에 따라 최신 기술과 다를 수 있으니 주의 바랍니다. Spring boot에서 특정 url을 베이스로 잡고 싶을 때 최근 프로젝트를 진행하면서 특정 컨트롤러의 url을 기본으로 잡고 싶었다. 말이 뭔가 이상한데 쉽게 예제로 표현을 하자면… 위와 같은 샘플 url이 있고 앞의 rest/test 이 부분이 경우에 따라 변경이 되어 매번 컨트롤러에서 수정이 번거로웠다. 그래서 특정 url을 베이스로 잡고 처리하는 방법을 찾아보았다. How to? 몇 가지 방법이 있는데 이 중 사용하기 편한 두 가지 방법을 알아보겠다. 1. Custom Annotation 사용 이 방법은 커스텀 어노테이션을 하나 만들고 이것을 적용할 컨트롤러에 붙여준다. 먼저 커스텀 어노테이션을 하나 만들어준다. 그리고 적용할 컨트롤러에 아래와 같이 붙여서 사용한다. 이렇게 공통적으로 사용할 컨트롤러에 어노테이션만 붙이고…

주의 이 문건은 과거 Hexo 블로그 (2018-04-26) 에서 이동된 문서입니다. 시간이 지남에 따라 최신 기술과 다를 수 있으니 주의 바랍니다. JS에서 값을 받으려 했더니… SpringBoot를 사용하여 JS에서 Json으로 서버측에 데이터를 보냈더니 아래와 같은 에러가 발생하였습니다. Could not read JSON: Can not deserialize instance of hello.Country[] out of START_OBJECT token 사실 제 로그는 아니고 검색해서 나온 로그입니다… (저장 해두는 것을 깜빡하여…) 저의 경우 이 문제가 일어난 케이스는 제가 개발 중인 사내정보시스템 기능 중 하나인 회의록 저장 기능이었습니다. 먼저 JS 단에서 전송하는 데이터는 아래와 같습니다. 저기 데이터 중에 member라는 값은 Select2의 값인데 이게 문제였습니다. 위의 값을 받는 데이터 중에 DTO를 사용하는데 아래와 같습니다. 위 코드는 일부 코드이며, 참…

주의 이 문건은 과거 Hexo 블로그 (2018-03-19) 에서 이동된 문서입니다. 시간이 지남에 따라 최신 기술과 다를 수 있으니 주의 바랍니다. Certbot으로 만든 인증서 사용하기 전의 포스팅인 Certbot으로 무료 인증서 발급 받기 에서 만든 인증서를 이용해 Spring Boot의 SSL을 적용하는 방법에 대해서 알아보겠습니다. 만약 Certbot으로 인증서를 만들지 않으신 분은 위의 포스팅 링크를 참고하여 만들어주시면 됩니다. PEM -> JKS 변환 먼저 Certbot에서 인증서를 생성할 경우 총 4개의 파일이 certbot 경로에 생성되게 됩니다. 다른 설정을 건들지 않았다면 경로 밑에 도메인 이름으로 저장이 됩니다. 만약 **/etc/letsencrypt/**까진 접근이 되지만 live 디렉토리에 접근 시 와 같은 권한 문제를 만날 경우 등을 통해서 접근합니다. 디렉토리 안에는 총 4개의 pem 파일이 생성되어 있습니다. privkey.pem : 개인키 …

주의 이 문건은 과거 Hexo 블로그 (2018-02-18) 에서 이동된 문서입니다. 시간이 지남에 따라 최신 기술과 다를 수 있으니 주의 바랍니다. Spring에서 Controller의 전달인자… Spring을 사용하다 보면 Controller 단에서 클라이언트에서 URL에 파라메터를 같이 전달하는 경우가 있습니다. 주로 사용하는 형태는 아래의 두 가지가 대표적인 케이스입니다. Type 1 => http://127.0.0.1?index=1&page=2 Type 2 => http://127.0.0.1/index/1 Type 1의 경우 파라메터의 값과 이름을 함께 전달하는 방식으로 게시판 등에서 페이지 및 검색 정보를 함께 전달하는 방식을 사용할 때 많이 사용합니다. Type 2의 경우 Rest api에서 값을 호출할 때 주로 많이 사용합니다. Spring에서는 이러한 전달인자를 처리하는데 두 가지 방법을 제공합니다. @RequestParam 사용하기 Type 1의 URL을 처리할…

주의 이 문건은 과거 Hexo 블로그 (2017-12-21) 에서 이동된 문서입니다. 시간이 지남에 따라 최신 기술과 다를 수 있으니 주의 바랍니다. Spring에서 설정파일을 감추고 싶다… Spring Framework를 이용하여 프로젝트를 진행할 때 데이터베이스 정보나 기타 민간함 정보를 설정파일에 작성하게 됩니다. 물론 Java Config를 사용하게 된다면 상관 없지만, 저는 주로 application.yml(또는 application.properties)을(를) 사용합니다. 문제는 이 설정파일의 경우 배포 시 노출이 되어 보안에 문제가 생길 수 있습니다. (물론 Java Config도 100% 안전한 것은 아니지만…) 그래서 이런 고민을 해결해 줄 라이브러리를 하나 소개하려 합니다. Jsaypt(Java Simplified Encryption) 를 써보자 Jasypt는 위에서 언급했던 문제를 해결해주는 자바 라이브러리입니다. 좀 더 자세한 내용은 Jasypt 공식 문서를…

주의 이 문건은 과거 Hexo 블로그 (2017-11-29) 에서 이동된 문서입니다. 시간이 지남에 따라 최신 기술과 다를 수 있으니 주의 바랍니다. Spring Boot에서 HTTPS를 적용하려면? Spring Boot환경에서 HTTP 통신으로 프로젝트를 구현하고 있었습니다. 하지만 보안적인 부분에 문제가 있어서 이 부분을 해결하기 위해 다양한 방법을 찾아봤습니다. RSA로 암호화를 하는 방법을 주로 사용했었습니다. 하지만 이렇게 하는 것보다 그냥 HTTPS를 사용하여 처리하는 것이 좋을 것 같아서 이 부분에 대해 적용을 해보았고, 경험을 포스팅하려 합니다. 진행에 앞서 개발환경은 Mac OS X이고, Java가 설치되어 있는 환경에서 진행됩니다. 어떻게 진행을 해야 하는가? 먼저 다음의 스텝으로 진행을 합니다. 1. 키스토어 생성 2. 인증서 추출 3. Trust-Store 생성 4. Spring boot 환경 구성 위 순서대로 하나씩 진행을 해보겠습니다. Key Store …