보안
-
log4j2 취약점 해결 과정보안 2021. 12. 17. 16:57
얼마전 아파치 재단의 log4j2 모듈 취약점이 발표되었다. [1] Apache Log4j Security Vulnerabilities https://logging.apache.org/log4j/2.x/security.htm [2] CVE-2021-44228 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 [3] CVE-2021-45046 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046 [4] CVE-2021-4104 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104 CVE - CVE-2021-4104 20211213 Di..
-
PG결제 연동 시 Chrome에서 발생하는 이슈 해결보안 2021. 12. 3. 16:59
PG모듈 (이니시스) 연동 시 크롬80 이상의 버전에서 same site 보안 이슈가 발생하는 것을 확인했다. 해당 문제는 동일 출저가 아닌 교차 컨텍스트에서 쿠키를 공유할 수 없도록 하는 구글의 패치에서 비롯되었다. 처음엔 왜 오류가 발생하는 것일까 삽질을 한참했다. https://www.inicis.com/blog/archives/121508 참고 나는 이 문제를 우회할 수 있도록하기 위해 여러 방법을 고민했다. 핵심은 jSESSIONID 였다. PG승인 이후 returnUrl에서 세션을 검증 및 사용해야하는 일이 있는데, same site 보안 패치로 인하여 세션이 끊겨서 결제 마무리 단계에서 error가 발생하는 것이다. 첫번째로 고민한 것은, 'returnUrl에서 세션을 사용하지 않으면 어떨까..