Aiden Lee.log

[Portswigger]SSRF(1)

Fri, 24 Apr 2026 05:29:48 GMT

SSRF Lecture

https://portswigger.net/web-security/ssrf

SSRF Lab

https://portswigger.net/web-security/all-labs#server-side-request-forgery-ssrf

SSRF란?

Server-side request forgery is a web security vulnerability that allows an attacker to cause the server-side application to make requests to an unintended location.

SSRF 공격

A successful SSRF attack can often result in unauthorized actions or access to data within the organization. This can be in the vulnerable application, or on other back-end systems that the application can communicate with. In some situations, the SSRF vulnerability might allow an attacker to perform arbitrary command execution.

An SSRF exploit that causes connections to external third-party systems might result in malicious onward attacks. These can appear to originate from the organization hosting the vulnerable application.

#1 Lab: Basic SSRF against the local server

This lab has a stock check feature which fetches data from an internal system.

To solve the lab, change the stock check URL to access the admin interface at http://localhost/admin and delete the user carlos.

사용 툴: Burp Suite

View details 버튼을 눌러 제품 상세 페이지로 이동한다.

제품 상세 하단에 Check stock으로 이동 인터셉트

stockApi=http://localhost/admin로 request 메시지 조작하여 forward

carlos 삭제 시도 실패

이 때의 요청이 https://0ac8004404c2c3d581f9444800900029.web-security-academy.net/admin/delete?username=carlos임을 확인

stockApi=http://localhost/admin/delete?username=carlos로 request 메시지 조작하여 다시 Check stock 인터셉트 및 forward

LAB Solved!

Why do applications behave in this way, and implicitly trust requests that come from the local machine?

The access control check might be implemented in a different component that sits in front of the application server. When a connection is made back to the server, the check is bypassed.
For disaster recovery purposes, the application might allow administrative access without logging in, to any user coming from the local machine. This provides a way for an administrator to recover the system if they lose their credentials. This assumes that only a fully trusted user would come directly from the server.
The administrative interface might listen on a different port number to the main application, and might not be reachable directly by users.

#2 Lab: Basic SSRF against another back-end system

This lab has a stock check feature which fetches data from an internal system.

To solve the lab, use the stock check functionality to scan the internal 192.168.0.X range for an admin interface on port 8080, then use it to delete the user carlos.

사용 툴: Burp Suite

View details에서, Check stock을 intruder로 보내 자동화 공격 수행

stockApi=http://192.168.0.1:8080/에서 1에 대해 Add Payload를 다음과 같이 설정

공격 수행

200 응답 발견

stockApi=http://192.168.0.215:8080/admin 요청 조작

stockApi=http://192.168.0.215:8080/admin/delete?username=carlos 요청 조작

LAB Solved!

IP:127.0.0.1, 192.168.0.X

Fri, 24 Apr 2026 05:28:58 GMT

127.0.0.1 (Loopback Address)

127.0.0.1은 네트워크 인터페이스를 거치지 않고 시스템 내부에서 통신하기 위해 예약된 루프백(Loopback) 주소다. 보통 'localhost'라는 호스트명과 매핑되어 사용된다.

자기 참조성: 외부 네트워크망에 연결되어 있지 않더라도 운영체제 내부의 네트워크 스택을 통해 자기 자신에게 데이터를 전송한다.
용도: 로컬 환경에서의 웹 서버 구동 테스트, 애플리케이션 디버깅, 데이터베이스 연결 확인 등 내부 프로세스 간 통신에 사용된다.
IPv6 대응: IPv6 규격에서는 ::1이 동일한 역할을 수행한다.

192.168.0.X (Private IP Address)

192.168.0.0/24 대역은 RFC 1918 표준에 의해 정의된 사설 IP(Private IP) 주소 공간이다.

접근 제한: 사설 IP는 인터넷 라우팅이 불가능하도록 설계되어 있다. 외부 인터넷 환경에서 해당 주소로 직접 패킷을 전송하면 ISP의 라우터에서 이를 폐기한다.
할당 배경: 공인 IP 주소(Public IP)의 고갈 문제를 해결하기 위해 도입되었다. NAT(Network Address Translation) 기술을 사용하여 내부망 기기들은 사설 IP를 쓰고, 외부와 통신할 때만 공인 IP를 공유한다.
SSRF와의 관계: 외부에서 접근할 수 없는 내부망 시스템이라도, 내부망에 걸쳐 있는 웹 서버가 공격자의 조작된 요청을 받아 대신 통신을 수행할 경우 보안 경계가 무력화될 수 있다.

IP 스캔 범위와 주소 예약 규정

네트워크 대역 스캔 시 192.168.0.1부터 시작하는 이유는 특정 주소들이 특수 용도로 예약되어 있기 때문이다.

192.168.0.0 (Network Address): 해당 네트워크 대역 자체를 식별하는 주소다. 실제 호스트(기기)에 할당할 수 없으므로 통신 대상이 될 수 없다.

192.168.0.255 (Broadcast Address): 네트워크 내의 모든 호스트에게 데이터를 동시에 전송하기 위한 브로드캐스트 주소다. 개별 서비스나 관리자 인터페이스가 존재할 수 없다.

192.168.0.1 (Gateway): 관례적으로 네트워크의 첫 번째 가용한 주소는 게이트웨이(라우터)에 할당된다. 따라서 관리자 인터페이스나 설정 페이지가 존재할 가능성이 가장 높은 지점이다.

따라서 유효한 호스트가 존재할 수 있는 범위는 네트워크 주소와 브로드캐스트 주소를 제외한 .1부터 .254까지다.

2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드 - 웹 서비스

Thu, 05 Mar 2026 01:41:56 GMT

계정 관리
서비스 관리
보안 설정
패치 및 로그 관리

계정 관리

점검항목	항목 중요도	항목코드
Default 관리자 계정명 변경	상	WEB-1
취약한 비밀번호 사용 제한	상	WEB-2
비밀번호 파일 권한 관리	상	WEB-3

서비스 관리

점검항목	항목 중요도	항목코드
웹 서비스 디렉터리 리스팅 방지 설정	상	WEB-4
지정하지 않은 CGI/ISAPI 실행 제한	상	WEB-5
웹 서비스 상위 디렉터리 접근 제한 설정	상	WEB-6
웹 서비스 경로 내 불필요한 파일 제거	중	WEB-7
웹 서비스 파일 업로드 및 다운로드 용량 제한	하	WEB-8
웹 서비스 프로세스 권한 제한	상	WEB-9
불필요한 프록시 설정 제한	상	WEB-10
웹 서비스 경로 설정	중	WEB-11
웹 서비스 링크 사용 금지	중	WEB-12
웹 서비스 설정 파일 노출 제한	상	WEB-13
웹 서비스 경로 내 파일의 접근 통제	상	WEB-14
웹 서비스의 불필요한 스크립트 매핑 제거	상	WEB-15
웹 서비스 헤더 정보 노출 제한	중	WEB-16
웹 서비스 가상 디렉토리 삭제	중	WEB-17
웹 서비스 WebDAV 비활성화	상	WEB-18

보안 설정

점검항목	항목 중요도	항목코드
웹 서비스 SSI(Server Side Includes) 사용 제한	중	WEB-19
SSL/TLS 활성화	상	WEB-20
HTTP 리디렉션	중	WEB-21
에러 페이지 관리	하	WEB-22
LDAP 알고리즘 적절하게 구성	중	WEB-23

패치 및 로그 관리

점검항목	항목 중요도	항목코드
별도의 업로드 경로 사용 및 권한 설정	중	WEB-24
주기적 보안 패치 및 벤더 권고사항 적용	상	WEB-25
로그 디렉터리 및 파일 권한 설정	중	WEB-26

2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드 - Web Application(웹)

Wed, 04 Mar 2026 07:52:44 GMT

점검항목	항목 중요도	항목코드
코드 인젝션 (CodeInjection)	상	CI
SQL 인젝션 (SQL Injection)	상	SI
디렉터리 인덱싱	상	DI
에러 페이지 적용 미흡	상	EP
정보 누출	상	IL
크로스사이트 스크립트	상	XS
크로스사이트 요청 위조(CSRF)	상	CF
서버사이드 요청 위조(SSRF)	상	SF
약한 비밀번호 정책	상	BF
불충분한 인증 절차	상	IA
불충분한 권한 검증	상	IN
취약한 비밀번호 복구 절차	상	PR
프로세스 검증 누락	상	PV
악성 파일 업로드	상	FU
파일 다운로드	상	FD
불충분한 세션 관리	상	IS
데이터 평문 전송	상	SN
쿠키 변조	상	CC
관리자 페이지 노출	상	AE
자동화 공격	상	AU
불필요한 Method 악용	상	WM

클라우드 기반의 보안 컨설팅 실무 DAY1

Sat, 31 Jan 2026 07:48:53 GMT

ISMS(정보보호 관리체계) ISMS-P(정보보호 및 개인정보보호 관리체계)

OS의 EOS와 EOL

EOS(End of Support) - 지원 종료 제품의 공식적인 지원 종료 새로운 취약점 발견 시 제조사는 조치를 취하지 않음.
EOL(End of Life) - 수명 종료 운영체제의 수명 자체가 종료

보안의 세가지 요소

TCP/IP 7layer

정보보안 및 개인정보보호 전문가

관련 자격

1.3 개인정보 영향평가 2. 진로 및 준비 방안

tenant tenacy

CSA 클라우드 보안 위협 참고

On-Promise vs Cloud Service

클라우드 컴퓨팅의 책임 공유 모델

CSP(Cloud Service Provider, 클라우드 서비스 제공업체) - AWS, Azure, GCP, 네이버클라우드 등과 같이 인터넷을 통해 컴퓨팅, 스토리지, 데이터베이스, 네트워크 등 클라우드 기반 리소스를 주문형으로 제공하는 제3자 회사
MSP(Managed Service Provider, 매니지드 서비스 프로바이더) - 기업의 클라우드 환경 및 IT 인프라 설계, 구축, 운영, 유지보수를 전담하여 관리하는 전문 파트너사
CSC (Cloud Service Customer, 클라우드 서비스 고객) - 클라우드 서비스를 이용하는 기업이나 개인.
NFV(Network Functions Virtualization, 네트워크 기능 가상화) - 라우터, 방화벽 등 전용 하드웨어 기반의 네트워크 장비를 가상 머신(VM)이나 컨테이너 등 소프트웨어(VNF)로 구현하여 범용 서버에서 실행하는 기술
VPC(Virtual Private Cloud, 가상 프라이빗 클라우드) - 퍼블릭 클라우드 제공업체(AWS, NCP 등) 내에서 논리적으로 격리된 사용자 전용 가상 네트워크 공간
NACL(Network Access Control List) - 클라우드(AWS 등) 및 네트워크 환경에서 서브넷(Subnet) 단위로 들어오고 나가는 트래픽을 제어하는 스테이트리스(Stateless) 방화벽 참고

정보보호관리체계 인증(ISMS-P) VS 클라우드 보안 인증(CSAP)

파이썬 크롤링

Fri, 30 Jan 2026 05:55:55 GMT

requests 라이브러리

# 라이브러리 설치
!pip install requests

# 파이썬 코드로 http 요청을 보낼 수 있게 해주는 라이브러리
import requests

# http 요청을 보낼 url
url = "https://www.bookspot.store/"

GET

requests 라이브러리의 get 메소드를 알아보자.

# HTTP GET 요청을 보내는 함수(메소드)
requests.get(url)

->이 주소(url)에 접속해서 데이터를 주세요"라고 서버에 요청하는 코드

❗HTTP GET 웹에서 데이터를 가져올 때 사용하는 요청 방식

구조 설명

response = requests.get(url)

requests - HTTP 요청을 보내는 라이브러리 get - GET 방식으로 요청 url - 접속할 웹 주소 response - 서버가 보내준 응답 객체

response 객체의 속성

response.text        # HTML 코드
response.status_code # 상태 코드 (200이면 성공)
response.headers     # 응답 헤더
response.content     # 바이너리 데이터

내부동작

requests.get(url)

서버에 HTTP GET 요청을 보냄
서버가 그 요청을 처리함
서버가 응답(HTML, JSON 등)을 돌려줌
그 응답을 response 객체로 받음

파라미터 전달

requests.get("https://example.com/search", params={"q": "python"})

실제 요청 주소:

https://example.com/search?q=python

beautifulsoup 라이브러리

# pip install requests beautifulsoup4
!pip install requests beautifulsoup4

.select()

BeautifulSoup 라이브러리에서 CSS 선택자(CSS Selector)를 사용해 HTML 요소를 선택하는 메서드 유사한 것으로는 .select_one(), .find(), .find_all()이라는 것도 있다.

사용법 형식: soup.select(선택자)
지정한 태그, 속성, id 등을 찾아서 리스트로 반환한다.

선택자별 예시

    1) tag
    soup.select('tag')  
        예시)
        soup.select('div') → 모든  태그를 찾아서 반환

    2) .class
        예시)
        soup.select('.title') → class="title"인 모든 요소를 찾아서 반환

    3) #id
        예시)
        soup.select('#header') → id="header"인 모든 요소를 찾아서 반환

    4) tag.class
        예시)
        soup.select('p.warning') → 인 모든 요소를 찾아서 반환

    5) 부모태그 > 자식태그
        예시)
        soup.select('div > span') →  안에 인 모든 요소를 찾아서 반환

    6)[attr]
        예시)
        soup.select('[href]') → href 속성이 있는 모든 요소 찾아서 반환

    7) [attr="value"]
        예시)
        soup.select('[type="text"]') → 속성 = 값 인 모든 요소를 찾아서 반환

    8) [attr^="value"]
        예시)
        soup.select('[class^="btn"]') → 속성 값이 ~로 시작하는 모든 요소를 찾아서 반환

    9) [attr$="value"]
        예시)
        soup.select('[href$=".pdf"]') → 속성 값이 ~로 끝나는 모든 요소를 찾아서 반환

    10) [attr*="value"]
        예시)
        soup.select('[class*="active"]') → 속성 값에 ~ 포함하는 모든 요소를 찾아서 반환

# HTML을 분석(파싱)하기 위한 라이브러리
from bs4 import BeautifulSoup

# 파일 경로 지정. 현재 폴더 기준(./)
file_path = './html_css/historyofpython.html'

# HTML 파일 열기
# 'r' → 읽기 모드
# encoding='utf-8' → 한글 깨짐 방지
# f.read() → 파일 전체 내용을 문자열로 읽음
with open(file_path, 'r', encoding='utf-8') as f:
    html_doc = f.read()

# HTML 코드 전체가 들어있는 문자열(str)
type(html_doc)
# html_doc

# head 부분 제거
body = html_doc.split('')[1]
response = BeautifulSoup(body, 'html.parser')
response

# BeautifulSoup을 이용해서 파싱하였으므로 bs4.BeautifulSoup 타입
type(response)

selenium

동적 로딩 문제 (JavaScript Rendering 문제)

import requests
url = "https://finance.naver.com/sise/lastsearch2.naver"
response = requests.get(url)
response

headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36",
    "Accept-Language": "ko-KR,ko;q=0.9,en;q=0.8",
    "Referer": "https://finance.naver.com/"
}
response = requests.get(url, headers = headers)
response

soup = BeautifulSoup(response.text, 'html.parser')
soup.select('tbody > tr')
soup.select('tbody')

결과로 빈 list 반환됨

정적 초기 로드 (Static Load)

requests.get()이 가져오는 부분
서버가 처음 보내주는 기본 HTML 문서

기본적인 HTML 구조, CSS 파일 연결 정보, JavaScript 파일을 불러오라는

site명과 게시글의 number, 요청 내용은 필요에 따라 조작한다.

사이트에 로그인한 상태로 html 파일을 클릭하였을 때 게시글이 삭제되면 CSRF에 대해 취약한 것으로 판단할 수 있다.

CSRF는 다음과 같이 다양한 공격에 적용될 수 있다.

기능	위험도
비밀번호 변경	매우 높음
계정 삭제	매우 높음
송금/결제	치명적
게시물 수정/삭제	높음
상품 등록/삭제	높음
좋아요/댓글 조작	중간

CSRF 취약점 진단

POST 요청에 CSRF Token이 있는가? →없으면 취약 가능성이 높다 있어도 서버에서 검증하지 않으면 취약
Referer / Origin 체크를 하는가? →없으면 위험
쿠키 SameSite 설정이 적절한가? SameSite=Lax → 대부분의 CSRF 자동으로 막힘 SameSite=None; Secure → 외부에서 쿠키 전송 가능하므로 취약
민감 요청이 GET 방식인가?(예:GET /delete?id=1) →GET으로 삭제/변경이 가능한 경우 CSRF 취약

생성형 AI 활용한 보안 프로그래밍 기술 - DAY3(2)

Fri, 28 Nov 2025 08:06:24 GMT

Port Scanner

소켓

네트워크에서 데이터를 주고받기 위한 통신 통로. 네트워크 통신용 인터페이스로, 프로그램이 네트워크로 데이터를 주고받기 위해 OS에 요청할 수 있는 표준화된 통신 엔드포인트(endpoint)이다.

운영체제는 네트워크 프로토콜(TCP/IP 등)을 직접 제어하게 하지 않는다. 대신 소켓이라는 표준 인터페이스를 제공해서 프로그램이 다음을 요청할 수 있게 한다.

TCP 연결 요청 (connect())
서버 소켓 대기 (bind(), listen())
연결 수락 (accept())
데이터 송·수신 (send(), recv())
연결 종료 (close())

즉, 네트워크 통신의 모든 동작은 소켓을 통해서만 이루어지며 다음과 같은 구조로 동작한다.

프로그램 → 소켓 API → OS → 네트워크 스택(TCP/IP) → 외부 네트워크

파이썬에서 소켓 사용

import socket

# 소켓 생성
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
# AF_INET: IPv4 주소 사용
# SOCK_STREAM: TCP 소켓 (연결 지향형)

socket.socket()은 OS의 소켓 시스템 호출을 감싸는 함수다. 운영체제에게 네트워크 통신용 소켓을 하나 생성하라고 요청하는 것이다.

socket.socket(address_family, socket_type)

address_family

네트워크 프로토콜의 주소 체계를 지정한다.

값	의미
`AF_INET`	IPv4 주소 체계 사용
`AF_INET6`	IPv6 주소 체계 사용

socket_type

전송 계층 프로토콜을 선택한다.

값	의미
`SOCK_STREAM`	TCP 사용 (연결형, 신뢰 전송)
`SOCK_DGRAM`	UDP 사용 (비연결형, 비신뢰 전송)

포트

포트 번호란 IP 주소와 함께 사용되는 가상 통신 주소이다. 0부터 65535까지의 숫자로 이루어지며, 웹 서버(포트 80)나 보안 웹(포트 443)처럼 특정 서비스에 할당된 번호와 사용자가 임의로 사용할 수 있는 동적 포트 등으로 나뉜다.

포트 상태

Open (열림) - 해당 포트 번호를 이미 어떤 프로세스가 listen() 중이다. 즉, TCP 서버가 대기 중
Closed (닫힘) - 해당 포트는 존재하지만 서비스가 아무것도 bind() 하지 않음. 즉, OS가 이 포트를 사용 중인 프로세스를 갖고 있지 않다.
Filtered (필터링됨) - TCP 요청이 방화벽/라우터/보안 장비에 의해 차단되었다. 즉, 패킷이 목적지 포트의 운영체제까지 도달하지 못함.

상태	트래픽 흐름	TCP 응답	의미
Open	SYN → 서버 도착	SYN/ACK	서버 프로세스가 해당 포트에서 LISTEN 중
Closed	SYN → 서버 도착	RST/ACK	해당 포트를 사용하는 프로세스 없음
Filtered	SYN → 방화벽에서 차단	응답 없음 또는 ICMP	패킷이 OS까지 도달하지 못함

포트 스캔

특정 컴퓨터의 어떤 포트가 열려있는지 확인하는 과정

즉, 네트워크 장비(서버, PC 등)의 각 포트 번호에 대해 연결을 시도하거나 특정 패킷을 보내고 그 응답을 분석해서 해당 포트가 실제로 서비스 중인지, 차단됐는지, 비어 있는지를 알아내는 작업이다.

❗왜 포트 스캔을 하는가

어떤 서비스가 실행 중인지 확인
취약점 탐지 - 열려있는 서비스의 취약점을 공격

KeyLogger

사용자가 키보드로 입력하는 내용을 기록하는 프로그램. 해킹, 악성코드, 모의해킹, 디버깅 등 다양한 목적에 사용된다.

Ransomware

암호화(Encryption)

정보를 읽을 수 없는 형태로 변환하는 것.

암호화의 목적

기밀성 (Confidentiality) - 중요한 정보를 다른 사람이 읽지 못해야 함
무결성 (Integrity) - 정보가 변경되지 않아야 함
인증 (Authentication) - 정보의 출처 확인

암호화의 핵심 요소

평문 (Plaintext) - 암호화하기 전의 원본 데이터
암호문 (Ciphertext) - 암호화한 후의 데이터. 읽을 수 없는 형태
암호화 키 (Encryption Key) - 암호화와 복호화에 사용하는 데이터. 키 없이 복호화 불가
암호화 알고리즘 - 암호화를 수행하는 방법(예: XOR, AES, RSA)

암호화 방식의 종류

대칭키 암호화 (Symmetric Encryption) 암호화 키 = 복호화 키 암호화와 복호화 수행 시 동일한 키를 사용 예: XOR, AES 장점: 빠름 단점: 키를 안전하게 전달해야 함
비대칭키 암호화 (Asymmetric Encryption) 암호화 키 ≠ 복호화 키 공개키와 개인키 쌍 사용 예: RSA 장점: 키 전달이 안전함 단점: 느림

구분	암호화 키	설명	예	장점	단점
대칭키 암호화 (Symmetric Encryption)	암호화 키 = 복호화 키	암호화와 복호화 수행 시 동일한 키를 사용	XOR, AES	빠름	키를 안전하게 전달해야 함
비대칭키 암호화 (Asymmetric Encryption)	암호화 키 ≠ 복호화 키	공개키와 개인키 쌍 사용	RSA	키 전달이 안전함	느림

XOR 연산

자기 역원 - A XOR B XOR B = A
암호화와 복호화가 동일 암호화: 평문 XOR 키 = 암호문 복호화: 암호문 XOR 키 = 평문

평문: 5 키: 3 . 암호화: 5 XOR 3 = 6 (이진수: 101 XOR 011 = 110) . 복호화: 6 XOR 3 = 5 (이진수: 110 XOR 011 = 101)

평문: "A" 키: "K" 문자 "A"의 ASCII 코드: 65 (이진수: 01000001) 키 "K"의 ASCII 코드: 75 (이진수: 01001011) . 암호화: 01000001 (A) X 01001011 (K) ─────────── 00001010 (결과: 10) . 복호화: 00001010 (암호문) X 01001011 (K) ─────────── 01000001 (A - 원본 복구)

❗키가 짧은 경우

평문: "Hello" (5바이트) 키: "AB" (2바이트) . 평문: H e l l o 키: A B A B A (키를 반복하여 확장) . H XOR A = 암호문[0] e XOR B = 암호문[1] l XOR A = 암호문[2] l XOR B = 암호문[3] o XOR A = 암호문[4]

파일 암호화

파일 암호화의 절차

파일 읽기 - 파일을 바이트(byte) 형태로 읽어옴
암호화 키 생성 - 암호화에 사용할 키 생성
XOR 연산 수행 - 파일 데이터와 키를 XOR 연산
암호화된 데이터 저장 - 암호화된 바이트를 파일에 저장

도커, 쿠버네티스, 젠킨스

Fri, 28 Nov 2025 05:12:50 GMT

도커(Docker), 쿠버네티스(Kubernetes), 젠킨스(Jenkins)는 모두 소프트웨어 개발 및 배포에 사용되는 도구이다.

각각 다음과 같은 역할을 한다.

도커(Docker): 컨테이너 기반의 애플리케이션 배포를 가능하게 하는 도구이다. 컨테이너는 애플리케이션과 그것을 실행하는 데 필요한 모든 의존성을 포함하기 때문에 도커를 사용하면 개발 환경과 운영 환경 간의 차이를 최소화할 수 있다.
쿠버네티스(Kubernetes): 컨테이너화 된 애플리케이션의 배포, 스케일링 및 관리를 자동화하는 오픈소스 플랫폼이다. 쿠버네티스를 사용하면 수백, 수천 개의 컨테이너를 효과적으로 관리하고 조정할 수 있다.
젠킨스(Jenkins): 지속적인 통합(Continuous Integration) 및 지속적인 배포(Continuous Deployment)를 지원하는 도구이다. 즉, 개발자가 코드를 변경하면 젠킨스는 이를 자동으로 빌드하고, 테스트하고, 프로덕션 환경에 배포한다.

세 도구는 서로 연관되어 작동한다.

도커를 사용해 애플리케이션을 컨테이너화하면, 이 컨테이너는 어디에서든 동일하게 실행되기 때문에 개발, 테스트, 프로덕션 환경 간의 차이를 제거할 수 있다.
젠킨스는 개발자가 코드를 변경하면 자동으로 이 코드를 빌드하고, 이를 도커 컨테이너로 패키지화하여 테스트하고 배포한다.
쿠버네티스는 이렇게 배포된 컨테이너를 클러스터 환경에서 관리한다. 쿠버네티스는 컨테이너를 적절한 위치에 스케줄링하고, 애플리케이션의 상태를 모니터링하고, 필요에 따라 컨테이너를 스케일링하거나 롤백하는 등의 작업을 수행한다.

따라서 도커, 쿠버네티스, 젠킨스는 각각 애플리케이션의 컨테이너화, 클러스터 관리, 지속적인 통합 및 지속적인 배포를 담당하며, 함께 사용될 때 효과적인 DevOps 파이프라인을 구성하는 핵심 요소가 된다.

도커, 쿠버네티스, 젠킨스는 DevOps 파이프라인 도구라고 볼 수 있다.

개발부터 테스트, 배포, 운영에 이르는 소프트웨어 개발 생명주기 전반을 자동화하고 효율화하는데 중요한 역할을 한다.

도커는 애플리케이션과 그 실행 환경을 컨테이너라는 격리된 환경으로 패키지화하는 기능을 제공한다.
젠킨스는 소스 코드의 변경을 감지하여 자동으로 빌드, 테스트, 배포하는 지속적인 통합(CI) 및 지속적인 배포(CD)를 지원한다.
쿠버네티스는 이렇게 생성된 컨테이너들을 대규모로 관리하고, 서비스를 유지하면서 스케일링하고, 장애가 발생했을 때 복구하는 등의 역할을 한다.

SpringBoot:Annotation

Fri, 28 Nov 2025 05:05:24 GMT

@Controller : 컨트롤러임을 표기

@GettMapping : 이러한 요청을 받으면 다음을 실행하라. //Get 요청

@ResponseBody : 이 함수의 리턴값을 브라우저에 전송하라. //없으면 리턴값이 클라이언트에 보여지지 않음. //리턴값이 있어야 함.

@AllArgsConstructor : 모든 arguments를 생성자로 받음. 즉, 클래스의 필드가 5개 존재하는 경우 모든 5개의 필드를 인자로 받는 생성자가 자동 생성됨.

@Getter : 클래스 내 모든 필드에 대해 getter 생성

@Component : 한 번만 생성되어 재사용 됨. 즉, 공유 객체임을 표시 //클래스에 @Component 붙이면 자동으로 Bean이 됨. @Repository @Service

@Autowired : @Autowired를 붙이면 new를 통해 객체를 생성할 필요 없다. 필드에 붙이면 필드 주입, 생성자에 붙이면 생성자 주입. 생성자가 하나인 클래스의 경우 생략 가능. 필드 주입 시 final 키워드 붙일 수 없음.

@RequiredArgsConstructor : 생성자 주입. final 붙은 필드를 초기화하는 생성자를 자동으로 생성해준다. 따라서 @RequiredArgsConstructor를 붙인 경우 생성자 생략 가능.

@ApplicationScope : 수명 김. 애플리케이션 전체에 걸쳐 존재함. @RequestScope : 수명 짧음. 매번 만들어졌다 사라짐.

@Data : @Getter, @Setter 대신 사용

@Validate @Valid

@NotBlank

@PathVariable

생성형 AI 활용한 보안 프로그래밍 기술 - DAY4(1)

Fri, 28 Nov 2025 04:48:05 GMT

Docker

설치

Windows 10 Home 버전을 사용하고 있기 때문에, Hyper-V가 없는 상황이었다. 따라서 WSL2를 설치한 뒤 Docker를 사용했다.

powerShell을 관리자로 실행해 wsl 설정을 해준다.

# wsl 업데이트
PS C:\WINDOWS\system32> wsl --update
업데이트 확인 중입니다.
Linux용 Windows 하위 시스템 최신 버전이 이미 설치되어 있습니다.

# wsl 버전확인
# wsl --status
PS C:\WINDOWS\system32> wsl --status
기본 버전: 2

# 버전이 2가 아닌 경우
# wsl --set-default-version 2
PS C:\WINDOWS\system32> wsl --set-default-version 2

# Windows 하위 시스템 활성화
dism.exe /online /enable-feature /featurename:VirtualMachinePlatform /all /norestart

# 가상머신 설정
dism.exe /online /enable-feature /featurename:VirtualMachinePlatform /all /norestart

실행

Docker Compose 실행

Docker Desktop 설치 및 실행
Windows에서 Docker Desktop이 실행 중인지 확인 필요

PowerShell을 관리자 버전으로 실행
프로젝트 디렉토리로 이동
```
 cd C:\Users\...\...
```

Docker Compose로 서비스 시작

 # 백그라운드로 실행 (-d 옵션)
 docker-compose up -d

 # 또는 로그를 보면서 실행 (첫 실행 시 권장)
 docker-compose up

서비스 상태 확인

 # 실행 중인 컨테이너 확인
 docker-compose ps

 # 로그 확인
 docker-compose logs -f

 # 특정 서비스의 로그만 확인
 docker-compose logs -f web
 docker-compose logs -f mysql
 docker-compose logs -f nginx

웹사이트 접속 브라우저에서 http://localhost 또는 http://127.0.0.1

서비스 중지/재시작

# 서비스 중지 (컨테이너는 유지)
docker-compose stop

# 서비스 재시작
docker-compose restart

# 서비스 중지 및 컨테이너 제거 (데이터는 유지)
docker-compose down

# 서비스 중지 및 모든 데이터 삭제 (주의!)
docker-compose down -v

빌드 재실행 (코드 변경 후)

# 이미지 재빌드 후 시작
docker-compose up -d --build

생성형 AI 활용한 보안 프로그래밍 기술 - DAY2(2)

Thu, 27 Nov 2025 00:34:55 GMT

파이썬

파일 입출력

Text 파일

open( )를 사용

open(file 경로, mode, encoding='utf8')

mode

#1. 파일 열기
filePath = 'file.txt'
f = open(filePath, 'r', encoding='utf8')

while True:
    #2. 파일 내용 읽기
    content = f.read()

    #3. 파일 읽기 종료
    if content == "":
        break
    print(content)

#4. 파일 닫기
f.close()

with로 파일 닫기

with open(file, mode, encoding) as f:

# 1. 파일 열기. 읽기가 끝나면 자동으로 닫는다
with open(filePath,"rt", encoding='utf-8') as f:
    # 2. 파일 읽기
    while True:
        c = f.read()
        if c == '':
            break
        print(c, end='')

readline( )

readline() # 한 줄 읽기. 개행(\n)을 만날때까지 읽음. 문자열 반환

readline(int): 글자 수 만큼 읽음. 그 전에 개행(\n)을 만나면 읽기 종료

파일 및 디렉토리

파일 및 디렉토리 관리

함수	설명
`os.listdir(path)`	지정한 `path` 내부의 파일과 폴더 목록을 리스트로 반환한다.
`os.getcwd()`	현재 작업 디렉터리(Current Working Directory)를 문자열로 반환한다.
`os.chdir(path)`	현재 작업 디렉터리를 `path`로 변경한다.
`os.mkdir(path)`	`path` 위치에 새 디렉터리(폴더)를 생성한다.
`os.rmdir(path)`	`path`에 있는 빈 디렉터리를 삭제한다. (내용 있으면 에러)
`os.rename(src, dst)`	`src` 파일/폴더의 이름을 `dst`로 변경하거나 이동한다.

경로 조작

함수	설명
`os.path.splitext(path)`	파일 경로를 `(파일명, 확장자)` 튜플로 분리한다. 확장자는 `.txt` 같은 형태로 반환됨.
`os.path.join(*paths)`	여러 경로 요소를 OS에 맞는 형태로 결합하여 하나의 경로 문자열을 만든다.
`os.path.split(path)`	경로를 `(디렉터리 경로, 파일명)` 형태의 튜플로 분리한다.

CSV파일

import csv

함수	설명
`csv.reader(file)`	CSV 파일을 리스트(list) 형태로 읽어오는 기본 리더. 한 줄을 리스트로 반환하며, 헤더 사용 여부는 직접 처리해야 한다.
`csv.DictReader(file)`	CSV 파일을 딕셔너리(dict) 형태로 읽어오는 리더. 첫 번째 행을 자동으로 헤더로 사용하여 `{헤더: 값}` 형태의 딕셔너리를 반환한다.

pandas로 CSV 다루기

pip install pandas # 설치 import pandas as pd # 불러오기

생성형 AI 활용한 보안 프로그래밍 기술 - DAY2(1)

Wed, 26 Nov 2025 07:22:22 GMT

파이썬

문자열 뒤집기

파이썬 슬라이싱을 이용해 문자열을 역순으로 뒤집기

string[::-1] # 문자열 뒤집기

슬라이싱의 기본 형태는 다음과 같다.

seq[start : end : step]

start: 시작 인덱스
end: 끝 인덱스(해당 인덱스는 포함되지 않음)
step: 증가량(간격)

step = -1인 경우 거꾸로 이동한다.

❗문자열, 리스트, 튜플 모두 사용 가능 모든 시퀀스 자료형에서 동작함

pass

파이썬에서, 아직 특별한 동작을 지정하지 않을 때 사용한다. pass 처리한 부분은 어떠한 명령을 수행하지 않는다.

if a > 3:
    pass

예외처리

try: 실행할 코드 except 에러명1: 에러처리 코드1 except 에러명2: 에러처리 코드2 else: try 블록에 에러가 없을 경우 실행 finally: 항상 실행

생성형 AI 활용한 보안 프로그래밍 기술 - DAY1(3)

Wed, 26 Nov 2025 02:24:26 GMT

파이썬

포맷팅

C 스타일

문자열에 변수의 값을 삽입하여 출력하고 싶은 경우, %s, %d, %f를 사용할 수 있다.

%s: string %d: decimal %f: float

price = 100
print("가격은 %s원" %price)

가격은 100원

날짜 시간 포맷팅

%Y: 연도 %m: 월(숫자) %B: 월(문자) %d: 일 %H: 시(24시간) %I: 시(12시간) %M: 분 %S: 초 %w: 요일(숫자, 일요일 = 0) %A: 요일(문자)

연산자 +

str()로 변환한 후 +를 이용해 문자열끼리 접합하면 된다.

price = 100
print("가격은 " + str(price) + "원")

가격은 100원

f-string

파이썬 3.6부터 지원하는 문법 문자열 앞에 f를 붙이면 { }안에 변수를 바로 사용 가능 기존의 format 메서드에 비해 코드가 짧고 가독성이 좋음

print(f"{name}의 학번은 {st_num}, 성적은 {score}입니다.")

# {변수명:형식지정자}
print(f"{name}의 학번은 {st_num}, 성적은 {score:.2f}입니다.")

다양한 형식 지정자를 지정할 수 있다.

형식 지정자	문법	예시
소수점 자리수	:.nf	f"{3.141592:.2f}" # 3.14
정수 자리수(0 패딩 포함)	:0nd	f"{42:05d}" # 00042
천단위 구분	:,	f"{1234567:,}" # 1,234,567
퍼센트	:.n%	f"{0.1234:.2%}" # 12.34%

List Comprehension

for문을 통해 간단하게 리스트를 만들 수 있다. 문법은 다음과 같다.

[리스트의 원소 for 변수 in 반복문의 범위]

[i for i in range(10)] # [0, 1, 2, 3, 4, 5, 6, 7, 8, 9]

[i * 2 for i in range(10)] # [0, 2, 4, 6, 8, 10, 12, 14, 16, 18]

[i for i in range(1, 11) if i % 2 == 0] # [2, 4, 6, 8, 10]

생성형 AI 활용한 보안 프로그래밍 기술 - DAY1(2)

Sat, 22 Nov 2025 07:13:16 GMT

파이썬

함수

def 함수명(입력 값): 연산할 내용
return 연산이 끝난 후 돌려줄 값

반환값이 여러개일 수 있다. 이 때에는 여러개의 변수로 반환값을 받는다.

def func(x):
    y1 = x
    y2 = x * 2
    y3 = x * 3
    return y1, y2, y3

val1, val2, val3 = func(3)

리턴값은 다양한 자료형이 될 수 있다. 함수는 아무것도 반환하지 않을 수 있다.(보통 출력값만 있는 경우)

파라미터 또한 여러개일 수 있다.

def func(input1, input2, input3):
    result = input1 + input2 + input3
    return result

func(1, 2, 3)

❗함수에 전달되는 인자의 개수가 정해져 있지 않은 경우 -> 파라미터로 *args를 지정

*args는 튜플(tuple) 형태로 전달됨. 따라서 인덱싱이나 반복 가능

ex) 함수에 여러 값을 넣어 sum을 구하는 경우

❗함수에 전달되는 인자의 개수가 정해져 있지 않으며 키를 사용하는 경우 -> 파라미터로 **```kwargs```를 지정

**kwargs는 딕셔너리(dict) 형태로 전달됨.

args와 **kwargs로 전달될 인자 앞에 언패킹 연산자()와 (**)를 붙여야 함

모듈 import 하기

import pandas
# 없는 경우 설치한다.
# pip install pandas

일부 모듈만 불러오는 경우

from pandas import DataFrame

as를 사용해 별명을 사용할 수 있다.

import pandas as pd
pd.DataFrame()

if문

if문 + list 리스트가 비어있으면 false, 원소가 있으면 true로 인식한다.
if문 + in list if element in list: else: 와 같이 사용한다.

for문

for item in iterable: # do something

numbers = [10, 20, 30, 40, 50]

for num in numbers:
    print(num)

break문 조건 만족 시 반복문을 빠져나옴

for item in iterator:     
    # do something

    if condition:         
        break

continue문

for item in iterator:
     # [A] do something

    if condition:
        continue

    # [B] do something

생성형 AI 활용한 보안 프로그래밍 기술 - DAY1(1)

Sat, 22 Nov 2025 04:17:15 GMT

파이썬

❗유의사항

리스트

리스트의 remove함수 index가 아닌 값을 지정하여 제거.

a = [1, '가나디', 3.14, '사과']
a.remove(1)
a

a = ['가나디', 3.14, '사과']

a.remove('사과')
a

a = ['가나디', 3.14]

지정한 값이 중복으로 존재하는 경우 앞에서부터 순서대로 하나만 제거됨.

a.append(1)
a.append(1)
a

a = ['가나디', 3.14, 1, 1]

a.remove(1)
a

a = ['가나디', 3.14, 1]

튜플

튜플은 수정이 불가한 자료형. 값을 바꿀 수 없다. -> 리스트로 변환 후 수정하고 다시 튜플로 변환하는 방식 가능

A = ('a', 9, 5.15) # 튜플
ch = list(A) # 리스트 변환
ch.append(3)
newA = tuple(ch) # 튜플 전환

세트

세트는 순서 상관X, 중복 제거 순서를 가지지 않으므로 인덱스 접근 불가. 인덱싱, 슬라이싱 등등 모두 불가

[ ] : 대괄호. 리스트 { } : 중괄호. 세트 ( ) : 소괄호. 튜플

딕셔너리

딕셔너리 역시 인덱스 접근 불가. 순서 지정돼있지 않으므로 대신 key값을 이용해 value 접근 가능

원소 삭제 시 del함수 이용

dict = {'key1':666, 'key2':888}
del dict['key1']
dict

{'key2':888}

zip함수를 사용하면 두 리스트를 하나의 딕셔너리로 생성 가능.

key = []
value = []
zip(key, value)

문자열

문자열 처리

인덱싱 가능. 공백도 인덱스를 가짐.

❗파이썬에서 문자열은 변경 불가능한 자료형 -> 인덱스 지정하여 특정값 변경하는 것 불가. replce 함수를 사용하더라도, 새로운 스트링을 반환하는 것이지 해당 문자열이 변경되는 것은 아님.

str1 = 'abcde'
str1[4] = 's' # error
str1.replace('a', 'b') # 'bbcde'반환. 하지만 str1은 여전히 'abcde'이다.

'bbcde'

한 번 지정된 문자열 str1은 변경되지 않는다. 따라서 새로 반환한 문자열을 저장하고 싶은 경우 str2 = str1.replace('a', 'b')와 같이 따로 저장해야 함.

replace는 replaceAll로 작동한다.

str = 'abbbabaa'
str.replace('a', 'b') # str의 모든 a가 b로 대체됨

'bbbbbbbb'

졸업 프로젝트: 트러블 슈팅(1)

Thu, 28 Nov 2024 11:33:31 GMT

테이블 DROP 후 다시 생성이 안 돼서 이틀을 꼬박 잡아먹고 지쳐있었다. 보통 application.yml 파일 문법의 문제라고 나와 있는데, 나는 도대체 어디가 틀린건지 찾을 수가 없었다... 그러던 중, 질문글의 해답을 보고 혹시...?하는 마음에 고쳐보자 바로 테이블이 생성되었다. 해결되어 다행!

  jpa:
    properties:
      hibernate:
        dialect: org.hibernate.dialect.H2Dialect
        ddl-auto: create

이 부분을 다음과 같이 고쳐야 한다.

  jpa:
    hibernate:
      ddl-auto: create
    properties:
      hibernate:
        dialect: org.hibernate.dialect.H2Dialect

고치기 전

spring:
  application:
    name: hong-yeon
  h2:
    console:
      enabled: true
      path: /h2-console
  datasource:
    url: jdbc:h2:file:./local
    driver-class-name: org.h2.Driver
    username: sa
    password: ""
  jpa:
    properties:
      hibernate:
        dialect: org.hibernate.dialect.H2Dialect
        ddl-auto: create
  servlet:
    multipart:
      max-file-size: 10MB
      max-request-size: 10MB
server:
  port: 8020

고친 후

spring:
  application:
    name: hong-yeon
  h2:
    console:
      enabled: true
      path: /h2-console
  datasource:
    url: jdbc:h2:file:./local
    driver-class-name: org.h2.Driver
    username: sa
    password: ""
  jpa:
    hibernate:
      ddl-auto: create
    properties:
      hibernate:
        dialect: org.hibernate.dialect.H2Dialect
  servlet:
    multipart:
      max-file-size: 10MB
      max-request-size: 10MB
server:
  port: 8020

Baekjoon:10250

Wed, 21 Feb 2024 06:11:53 GMT

https://www.acmicpc.net/problem/10250

이 문제의 경우 수학 계산식에서 오류가 있었다.

우선 첫 번째 제출

import java.util.Scanner;
import java.util.List;
import java.util.ArrayList;

public class Main{
    public static void main(String[] args){
        Scanner scanner = new Scanner(System.in);
        int repeat = scanner.nextInt();
        int H, W, N;
        List floor = new ArrayList<>();
        List roomNumber = new ArrayList<>();

        for(int i = 0; i < repeat; i++) {
            H = scanner.nextInt();
            W = scanner.nextInt();
            N = scanner.nextInt();

            roomNumber.add(N / H + 1);

            if(N % H == 0) {
                floor.add(H);
            } else{
                floor.add(N % H);
            }
        }

        for(int i = 0; i < repeat; i++) {
            System.out.printf("%d%02d\n", floor.get(i), roomNumber.get(i));
        }
    }
}

예제 입출력은 잘 나와서 뭐가 잘못된거지? 했었던 문제.

하지만 질문 게시판을 눌러보니 바로 잘못된 출력을 찾았다.

1 10 10 10 1002

이 입력은 1001이 나와야 한다. 1이 더 크게 나오자 바로 문제를 눈치챘다. 층에 대한 조건문은 작성했으면서 호수에 대한 조건문은 작성하지 않았다. 어떤 경우에도 상관없이 roomNumber.add(N / H + 1);가 호수가 되도록 한 것이 문제였다. 이 부분도 나머지가 0이고 딱 꼭대기 층인 경우, +1을 해주면 안된다.

따라서 이렇게 수정하였다.

import java.util.Scanner;
import java.util.List;
import java.util.ArrayList;

public class Main{
    public static void main(String[] args){
        Scanner scanner = new Scanner(System.in);
        int repeat = scanner.nextInt();
        int H, W, N;
        List floor = new ArrayList<>();
        List roomNumber = new ArrayList<>();

        for(int i = 0; i < repeat; i++) {
            H = scanner.nextInt();
            W = scanner.nextInt();
            N = scanner.nextInt();

            //조건문으로 수정한 부분
            if(N % H == 0) {
                roomNumber.add(N / H);
            } else{
                roomNumber.add(N / H + 1);
            }

            if(N % H == 0) {
                floor.add(H);
            } else{
                floor.add(N % H);
            }
        }

        for(int i = 0; i < repeat; i++) {
            System.out.printf("%d%02d\n", floor.get(i), roomNumber.get(i));
        }
    }
}

한 번에 통과할 수는 없는걸까 꼭 한 번씩은 틀리게 된다.ㅎㅎ

Paging

Sun, 21 Jan 2024 08:21:44 GMT

Paging

모든 데이터가 한 페이지에 표시되도록 설계해서는 안된다. 페이징을 통해 한 페이지당 보이는 데이터의 양을 제한할 것이다. 이 때, 라이브러리를 추가로 설치하지 않고 이미 설치해두었던 JPA 관련 라이브러리를 사용한다. Spring Data 프레임워크에서 제공하는 페이징 관련 클래스로는 다음과 같은 클래스가 있다.

org.springframework.data.domain.Page: 페이징을 위한 클래스.
org.springframework.data.domain.PageRequest: 페이징 요청을 하는 클래스. 한 페이지에 보여 줄 게시물 개수 설정 등 옵션을 걸어 요청할 수 있다.
org.springframework.data.domain.Pageable: 페이징을 처리하는 인터페이스.

Pageable

Pageable 인터페이스는 페이징 처리를 위한 정보를 담고 있는 인터페이스이다. Pageable 인터페이스를 구현한 클래스로는 PageRequest가 있다. Pageable 인터페이스에는 다음과 같은 메서드가 존재한다.

getPageNumber(): 조회할 페이지 번호를 반환. 0부터 시작
getPageSize(): 한 페이지에 포함될 항목의 개수를 반환
getOffset(): 조회할 페이지의 시작 위치를 반환
getSort(): 페이지 내 항목의 정렬 순서를 반환

Pageable 인터페이스는 데이터를 조회하는 메서드에 Pageable 객체를 인자로 전달하여 페이징 처리를 할 수 있도록 한다. 다음 예시와 같이 사용할 수 있다.

Pageable pageable = PageRequest.of(0, 10); // 첫 번째 페이지, 페이지당 10개의 항목
Page userPage = userRepository.findAll(pageable);
List userList = userPage.getContent(); // 페이지에 포함된 User 데이터 리스트

PageRequest 객체를 사용하여 Pageable 인터페이스를 구현한 객체를 생성한 후, userRepository.findAll() 메서드에 전달하여 첫 번째 페이지의 10개 User 데이터를 조회한 예시이다.

Page와 Pageable을 함께 사용하면 데이터를 효과적으로 페이징하여 처리할 수 있다.

PageRequest

페이징 처리를 위한 정보를 담고 있으며, 데이터를 조회할 때 사용되는 메서드들에게 정보를 전달하여 특정 페이지의 데이터를 가져올 수 있다.

PageRequest 클래스의 주요 속성과 생성자는 다음과 같다.

page: 가져올 페이지의 번호. 0부터 시작하며, 기본값은 0이다.
size: 한 페이지에 포함될 항목의 개수. 기본값은 20이다.
sort: 페이지 내 항목의 정렬 순서를 지정. Sort 객체를 사용하여 정렬 기준을 설정할 수 있다.

PageRequest 객체를 생성하기 위해 다음과 같은 생성자를 사용할 수 있다.

PageRequest.of(int page, int size): 기본 생성자로, page와 size 값을 인자로 받아 PageRequest 객체를 생성한다.
PageRequest.of(int page, int size, Sort sort): 정렬 기준을 추가로 지정하여 PageRequest 객체를 생성한다.