슬기

IP주소를 얻기 위해 알아야할 이론적인 부분을 먼저 정리해 보았다.

Proxy(프락시) 서버

 프락시 서버는 클라이언트가 자신을 통해서 다른 네트워크 서비스에 간접적으로 접속할 수 있게 해주는 컴퓨터나 응용프로그램을 가리킨다. 서버와 클라이언트 사이에서 중계기로서 대리로 통신을 수행하는 기능을 'Proxy(프락시)', 그 중계기능을 하는 것을 프락시 서버라고 한다.

 프락시 서버는 요청된 내용들을 캐시를 이용하여 저장해둔다. 캐시 안에 있는 정보를 요구하는 요청에 대해, 원격 서버에 접속하여 데이터를 가져올 필요가 없게 되어서 전송 시간을 절약할 수 있다. 즉, 불필요하게 외부와의 연결을 하지 않아도 된다는 장점이 있다. 또한 외부와의 트래픽을 줄이게 됨으로써 네트워크 병목 현상을 방지하는 효과도 얻을 수 있게 된다.

출처 - 위키백과 https://ko.wikipedia.org/wiki/%ED%94%84%EB%A1%9D%EC%8B%9C_%EC%84%9C%EB%B2%84

Proxy(프락시) 환경에서 client IP를 얻기 위한 X-Forwarded-For(XFF) http header

 XFF는 http 헤더 중 하나로, http server에 요청한 client의 IP를 식별하기 위한 사실상의 표준이다.

 웹 서버나 WAS 앞에 L4같은 로드밸런서, 프록시 서버, 캐싱서버 등이 있을 경우, 웹 서버/WAS에 http나 전용 프로토콜로 요청을 보낸 후에 받은 결과를 가곡하여 클라이언트에 재전송하게 된다. 이로 인해, 처리한 웹 서버나 WAS에서 request.getRemoteAddr() 등으로 클라이언트 IP를 얻을 경우 L4나 Proxy의 IP를 얻게 되는데 이는 원하는 결과가 아니다.

 X-Forwarded-For는 이 문제를 해결하기 위해 사용하는 http header이다. 콤마를 구분자로 client와 proxy IP가 들어가므로 첫 번째 IP를 가져오면 클라이언트를 식별할 수 있다.

 Web Server, WAS, L4, proxy 종류에 상관없이 client IP를 잘 가져오기를 바란다면 다음과 같은 순서로 IP를 얻어내야 한다. 

출처 - https://www.lesstif.com/pages/viewpage.action?pageId=20775886

화면전환 없이 데이터를 전송하기 위해 ajax를 사용하는 경우가 많다.

1. JSON 형태로 데이터 전송

읽을 때에는 request.getParameter로 읽으면 된다.

2. 폼 데이터를 한꺼번에 전송

읽을 때에는 폼의 각 데이터 name값으로 꺼내 읽으면 된다.

예를들어,

- form

이런 형태의 폼 데이터를 보낸다고 하자.

보내기 버튼을 클릭하면 sendFormUsingAjax()라는 javascript 함수를 실행하게 되고, 그 안에 ajax로 데이터를 보내는 코드를 작성해두었다고 하면, 그 코드가 실행될 것이다.

보내진 곳에서 데이터를 읽는 코드는

form 안의 각 요소들의 name속성의 값으로 읽으면 된다.

3. 체크박스 데이터 등 배열 형태로 데이터 전송

배열 형태의 데이터를 전송할 때에는 배열데이터를 직렬화하는 코드를 작성해야 한다. ( jQuery.ajaxSettings.traditional = true )

이런 형식으로 보내고, 데이터를 읽을 때에는 배열형태의 변수를 만들고 같은 방식으로 읽으면 된다.

http://conol.tistory.com/23

http://www.homejjang.com/05/meta.php

엔터 클릭 시 특정 함수가 실행되게 하고싶으면 input태그 안에 onkeypress속성을 추가하면 된다.

키보드를 눌렀을 때, 그 키의 코드가 13번(엔터)이면, '자바스크립트 함수 이름'을 실행하라는 코드이다.

하지만 form 태그 안에 input(type=text) 태그가 한 개 들어있을 때, 엔터를 누르면 자동으로 submit되는 현상이 발생해서 화면이 새로고침 된다.

저 경우에도 함수 실행 후에 submit이 한 번 더 되어서 페이지가 새로고침 되었다.

이를 막기 위해서는 form 태그에 아래 코드처럼 onsubmit속성을 추가하면 된다.

이렇게 하면 엔터키를 눌러도 submit이 자동으로 되지 않는다.

** input태그가 여러개 있을 때에는 엔터키 눌렀을 때 자동submit이 동작하지 않는다!!!

commons-fileupload 라이브러리를 통한 파일 업로드를 구현하기 위해서는 라브러리를 다운받아 lib폴더에 넣어주어야 한다.

commons-fileupload-버젼.jar    ( 주소 : http://commons.apache.org/proper/commons-fileupload/ )

commons-id-버젼.jar               ( 주소 : http://commons.apache.org/proper/commons-io/ )

1. 입력 폼 만들기

- 입력폼의 method를 POST로 지정하고, enctype 속성의 값을 multipart/form-data로 설정한다.

  사진, 동영상 등 글자가 아닌 파일은 모두 Multipart 형식의 데이터이다. 따라서 파일 업로드 시 enctype 설정을 꼭 해야한다.

- 파일 업로드와 함께 텍스트 형식의 폼 데이터도 함께 전송한다.

- 파일 삭제 버튼을 누르면 업로드했던 파일이 삭제된다.

2. img-upload.jsp에서 요청을 받아 처리한다.

- ServletFileUpload.isMultipartContent(request) : 전송된 데이터가 multipart/form-data형식으로 전송되었는지 여부 확인

- multipart/form-data 형식으로 넘어온 경우 기존의 request.getParameter("name") 방식으로 값을 꺼낼 수 없기때문에 위의 방법 사용

- FileItem 클래스는 multipart/form-data로 전송된 파라미터 또는 파일 정보를 저장하고 있는 클래스이다.

FileItem 클래스가 제공하는 메소드

참고 - https://m.blog.naver.com/PostView.nhn?blogId=javaking75&logNo=220056175936&proxyReferer=https%3A%2F%2Fwww.google.co.kr%2F

a태그를 href가 아닌 onclick()을 사용하고자 할 때 방법 두 가지를 소개한다.

1. href를 막고 onclick 사용

<a href="javacsript:void(0); onclick='함수명(매개변수)'>a링크입니다</a>

href가 동작은 하지만 void(0)으로 사실상 동작을 안 하는 것처럼 보이고 onclick이 실행된다.

2. href에 경로설정을 하지 않고 onclick 속성 사용

<a href="#" onclick="함수명(매개변수);">a링크</a>

이런 형식으로 사용한다.

<a href="aaa.jsp" onclick="return 함수명(매개변수);">a링크</a>

이렇게 사용하는 경우, href에 설정한 경로로 이동하는 것보다 onclick이벤트가 먼저 실행된다. onclick 이벤트의 리턴값이 true이면 href로 연결된 링크로 이동하고, false이면 이동하지 않는다.

출처 - http://egloos.zum.com/pdw213/v/3493140

출처 - http://0taeng.tistory.com/31

Character Encoding (ascii chart)

출처 - https://grox.net/utils/encoding.html

xss공격과 sql injection은 웹 해킹의 대표적인 기법이다. 이 두 가지 보안이슈에 대해 알아보았다.

XSS 공격 (Cross Site Scripting)

 CSS라고 말하는 곳도 있지만 CSS는 이미 Cascading Style Sheets의 약어로 쓰이고 있기 때문에 혼동을 방지하고자 보통 XSS라고 한다. XSS는 공격하고자 하는 사이트에 악의적인 스크립트를 삽입하여 비정상적인 페이지가 보이게 함으로써 타 사용자의 사용을 방해하거나 쿠키 및 기타 개인정보를 탈취하는 기버법이다. 여러 사용자가 접근 가능한 게시판 등에 코드를 삽입하는 경우도 많으며, 메일과 같은 매체를 통해서도 전파된다.

 간단하게 id를 입력하면 해당 id를 출력해주는 사이트가 있다고 가정하자. 보통의 사용자는 id만을 입력하겠지만 입력창에 <script>alert(1);</script>를 입력하면 그대로 script가 실행되는것을 볼 수 있다. 이러한 형식으로 해커들은 쿠키정보 및 세션ID 획득, 악성코드 다운로드, 개인정보를 빼가는 거짓 페이지를 노출하는 등의 해킹을 할 수 있다.

SQL-Injection

 말 그대로 sql문에 의도적인 쿼리를 삽입하여 공격자가 원하는 데이터를 얻는 기법이다. 대표적으로 아이디와 패스워드를 입력하는 로그인 페이지를 타겟으로 sql 쿼리문의 true/false의 논리적 연산 오류를 이용하여 로그인 인증 쿼리문이 무조건 true의 결과값이 나오게 하여 인증을 무력화시키는 기법이 있다. 로그인을 할 때 입력창에

' or 1=1--

' or 1=1#

' or 2>1--

등을 입력하면 이를 막아놓지 않은 사이트에서는 쿼리문이 항상 true가 되어 아이디와 비밀번호를 몰라도 로그인을 할 수 있게 된다.

 이외에도 많은 방법으로 데이터를 해킹한다. 아래 링크를 참고하면 좋을 것 같다.

참고 - http://mrrootable.tistory.com/25

웹 서버 - Web Server

클라이언트가 서버에 전달한 request를 받아 정적인 컨텐츠를 제곡하는 서버이다. 

ex) html, css를 통해 이미지를 띄우는 경우

request를 받아 가장 앞에서 요청에 대한 처리를 한다. 요청이 많을 경우 웹 서버에서는 웹 문서를, WAS에서는 JSP 페이지를 양분하여 처리해 서버의 부담을 줄여주는 역할도 한다.

WAS - Web Application Server

동적인 컨텐츠를 제공하는 서버이다. JSP 등의 처리를 한다.

ex) DB연동을 통해 데이터를 주고받거나 프로그램으로 데이터 조작이 필요한 경우

<출처 : http://mindols.tistory.com/86>

웹 서버 동작 프로세스

1. 클라이언트가 요청을 보낸다.

2. 웹 서버는 요청을 받고 정적인 컨텐츠이면 웹 서버에서 처리해 응답을 클라이언트에게 보낸다.

<동적인 컨텐츠 처리>

3. 정적인 컨텐츠가 아니라면 WAS로 요청을 보낸다.

4. 웹 서버로부터 요청이 오면 컨테이너가 받아서 처리한다.

<컨테이너가 받아서 처리하는 프로세스>

5. 컨테이너는 web.xml을 참조하여 해당 서블릿에 대한 쓰레드를 생성하고 httpServletRequest와 httpServletResponse객체를 생성하여 전달한다.

6. 컨테이너는 서블릿을 호출한다.

7. 호출된 서블릿의 작업을 담당하는 쓰레드(5번)는 doPost()또는 doGet()을 호출한다.

8. 호출된 doPost(), doGet() 메소드는 생성된 동적 페이지를 Response객체에 담아 컨테이너에 전달한다.

9. 컨테이너는 전달받은 Response객체를 HTTPResponse형태로 바꿔 웹 서버에 전달후 생성했던 쓰레드를 종료하고 httpServletRequest, httpServletResponse 객체를 소멸시킨다.

10. WAS에서 처리한 컨텐츠를 웹 서버가 받아 클라이언트에게 응답한다.

아파치 - Apache

 아파치는 소프트웨어 단체이다. 우리가 사용하는 '아파치 서버'는 아파치에서 후원하는 오픈소스 프로젝트 커뮤니티에서 만든 http 웹 서버를 지칭하는 것이다. html 등의 정적인 컨텐츠를 처리할 때 사용하는 웹 서버 중 하나이다.

톰캣 - Tomcat

 jsp 등의 처리를 할 때 사용하는 WAS중 하나이다. 즉, 동적인 컨텐츠를 처리할 때 사용한다. 톰캣에는 아파치의 기능(웹 서비스 데몬, Httpd)를 포함하고 있다.

<참고>

http://sungbine.github.io/tech/post/2015/02/15/tomcat%EA%B3%BC%20apache%EC%9D%98%20%EC%97%B0%EB%8F%99.html

http://jeong-pro.tistory.com/84

http://mindols.tistory.com/86