전체 글
dongburiii
2024. 11. 7. 09:02
2024. 11. 7. 09:02
- 본 내용은 과거 번역 파일 정리 자동화 프로그램 작업에 대한 업무 일지이다.
시작
- 회사에서 서비스에 사용되는 다국어 데이터의 검수 및 정리를 위한 액셀 파일 필요
- 수기로 작업하던 방식에 불만을 갖게 되어, 나도 모르게 자동화 프로그램을 만들어주겠다고 선언해 버렸다
- 기능 정리를 해 보면 아래와 같다.
- 번역 파일을 액셀파일로 만들고, 수정 뒤에 다시 액셀파일을 번역 파일 생성해 주는 프로그램 각각을 만들어야 할 것으로 판단하였음
- 파일 뿐만 아니라, DB의 데이터도 처리해야 해야 했음
- 복기하는 겸, 그 내용의 일지를 옮겨 적어본다.
액셀 파일 생성 프로그램 - 번역 파일 -> 하나의 액셀 파일
- 다국어 데이터를 사용하는 서비스는 총 3개
- 파일들은 백엔드에서 사용하는 파일 / 프론트에서 사용하는 파일 / DB 에서 사용하는 파일 각각은 front / back / DB 폴더 안에 위치
- 프론트에서 사용하는 다국어는 json 파일로 관리되고, 백엔드에서는 .properties 파일과 DB로 관리됨
- properties 파일: <단어> = <번역된 단어> 형태로 관리됨
- 기능에 따라 폴더가 구분되어있음. 이 폴더명을 back_<폴더명> 명으로 사용
- ko.properties, en.properties로 파일이 나뉘어져 있다.
- 두 파일은 같은 key를 공유하고 있기 때문에, 하나의 시트에 합쳐서 보여질 수 있게 한다.
- key, ko, en 으로 칼럼을 잡았다.
- json 파일: {"key1": {"key2": {"단어": "번역내용"}}} 형태로 관리됨
- key2 아래에 Depth 가 최대 두개까지 더 들어갈 수 있다.
- 파일은 한국어 ko.json과 en.json 두가지로 나뉘어지고, 두 파일을 하나의 sheet 에서 보여주게끔 진행해야 함
- sheet명은 front_json 으로 잡음
- 따라서 First, Second, Thir, Fourth, Ko, En 을 칼럼으로 잡았다.
- DB: Sequential 한 id 값이 Primary Key 이고, ko 필드에 한국어 / en 영어 데이터가 저장되어 있음
- 프로그램 실행 시, DB 에서 데이터 조회
- 테이블 명을 db_<테이블명> 명으로 잡음
- id, ko, en 으로 칼럼명을 잡았다.
번역 파일 재생성 - 하나의 액셀 파일 -> 기존 폴더 구조에 맞게 번역 파일로 분리
- 액셀 파일에 저장 및 수정이 되어 전달 받았을 때, 다시 번역 파일 생성 및 데이터 업데이트/삽입 프로그램
- json, properties 파일과 DB 내용을 다시 업데이트 해 주기
- sheet 명의 prefix에 따라, front / back / db 로직으로 분리
- 다시 생성한 번역 파일들은 dist 폴더 아래에 저장
- properties 파일 - dist폴더 아래에 prefix(back)으로 디렉토리 생성 후 그 아래에 파일 저장
- 각각 시트명에 대한 폴더 생성
- ko / en 칼럼들은 en.properties / ko.properties 파일로 분리 시켜 저장
- <key칼럼> = <번역 내용> 으로 데이터 생성해서 저장
- json 파일 - dist 폴더 아래에 prefix(front)으로 디렉터리 생성 후 그 아래에 파일 저장
- ko 칼럼은 ko.json 파일로, en 칼럼은 en.json 파일로 저장
- First, Second, Third, Fourth 칼럼들은 각각 json의 키깂으로 사용.
- DB 데이터 - 해당 데이블에 데이터 업데이트 / 삽입
- id 값을 PK 로 사용하고 있기 때문에, INSERT INTO ON DUPLICATE KEY 로 쿼리
- 실 사용 서버에 적용시키기 전 개발 서버의 DB에 적용
설계
- 언어는 Golang으로 선택. 실행 파일을 빌드해서 넘기기에 용이하며, 여러 OS 에서 실행가능함
- 번역 파일들은 그 폴더 채로 assets 폴더 안에 옮겨두고 프로그램 실행하면 읽고 각 폴더명에 맞게 sheet 생성 및 데이터 저장
- 폴더 없이 가장 상위 레벨 디렉토리의 파일은 default 라는 시트명 안에 저장
- DB 데이터들은 데이터 조회 후, 테이블명을 sheet 명으로 지정하고 id - ko - en 형식으로 데이터 저장
- 액셀 파일들은 하나의 파일 안에 모든 데이터가 저장되어야 함
- 처리가 완료되면, 프로그램은 종료되고 실행 파일과 같은 디렉토리에 액샐파일 생성
dongburiii
2024. 11. 4. 11:23
2024. 11. 4. 11:23
취약점 공격
SQL Injection
- 웹 응용 프로그램에 SQL 삽입하여, 서버 데이터 유출 및 관리자 인증 우회 방법
- 동적 쿼리에 사용되는 입력 데이터에 예약어 및 특수만자 입력되지 않게 필터링시켜 방지
- 동적 쿼리: 질의어 코드를 문자열 변수에 넣어 조건에 따라 질의를 동적으로 변경하여 처리
크로스사이트 스크립팅 XSS
- 웹페이지에 악의적인 스크립트를 삽입하여 방문자들의 정보를 탈취 및 비정상적 기능 수행 유발
- HTML 태그의 사용을 제한 및 스크립트에 삽입되지 않도록 다른 문자로 치환하여 방지
운영체제 명령어 삽입
- 외부 입력값을 통해 시스템 명령어의 실행 유도하여 권한 탈취 및 시스템 장애 유발
- 웹 인터페이스를 통해 시스템 명령어가 전달되지 않도록하고, 외부 입력값을 검증 없이 내부 명령어로 사용하지 않게끔 함
서비스 공격 유형
서비스 공격 (Dos; Denial of Service)
- 서비스 자원을 고갈시킬 목적으로, 다수의 공격자/시스템에서 대량의 데이터를 한 곳의 서버에 집중적으로 전송
Ping of Death
- Ping 명령을 전송할 때, 인터넷 프로토콜 허용 범위 이상으로 전송하여 네트워크 마비시키는 공격
스머핑 SMURFING
- IP 나 ICMPO의 특성을 악용하여, 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크를 불능 상태로 만드는 공격
DDoS
- 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 대해 서비스 거부 공격을 수행하는 것
- 취약점 가진 호스트들에 공격용 툴을 설치해 에이전트로 만듬
네트워크 침해 관련 용어 정리
- 스미싱: 문자 메세지를 이용해 정보 빼내는 기법
- 스니핑: 네트워크의 중간에서 남의 패킷 정보를 도청하는 유형. 수동적 공격에 해당
- ARP 스푸핑: 자신의 물리적 주소(MAC)을 공격 대상의 것으로 변조해서 공격 대상에 도달해야하는 데이터 패킷을 가로채거나 방해
정보 보안 침해 공격 관련 용어 정리
- 웜: 네트워크를 통해 자신을 복제하여 시스템 부하를 높여 다운시키는 바이러스의 일종.
- 분산 서비스 거부 공격, 버퍼 오버플로 공격, 슬래머 등
- 랜섬웨어: 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 파일등을 암호화하여 돈 요구
- 트로이목마: 정상적인 기능을 하는 프로그램으로 위장하여 숨어있다가 부작용 일으킴. 복제 기능 없음
취약점 방어
NULL 포인터 역참조
- NULL Pointer가 가리키는 메모리의 위치에 값을 저장할 때 발생하는 보안 약점
- 포인터 이용 전 NULL 값 존재 여부 체크 함으로 방지
스택가드
- 주소가 저장되는 스택에서 발생하는 보안 약점을 막는 기술
- 프로그램 복귀 주소와 변수 사이 특정 값을 저장한 후, 그 값이 변경되었을 경우 오버플로우 상태로 판단하여 실행 중단
dongburiii
2024. 11. 1. 09:54
2024. 11. 1. 09:54
어플리케이션 테스트
- 어플리케이션에 잠재된 결함을 찾아내는 일련의 행위 또는 절차
- Verification 검증 -> 개발자 입장, 소프트웨어 명세서 만족
- Validation 확인 -> 사용자 입장, 고객 요구사항 만족
어플리케이션 테스트 원리
- 완벽한 테스트는 불가능
- 잠재적 결함을 줄일 수 있지만, 결함이 없다고 증명할 수 없음
- 파레토 법칙
- 어플리케이션의 20% 코드에서 전체 결함의 80%가 발견
- 살충제 패러독스
- 동일한 테스트 케이스 반복하면 더 이상 결함이 반복되지 않음
- 테스팅은 정황(Context)에 의존적
- 정황에 따라 테스트 결과가 달라질 수 있기에, 정황에 따른 테스트 수행
- 오류-부재의 궤변
- 결함을 모두 제거해도 사용자 요구사항 만족시키지 못하면 품질이 높지 못함
어플리케이션 테스트 분류
실행 여부 따라
- 정적 테스트 따라 -> 실행X
- 워크스루(검토회의) -> 전문가 직접 검토, 절차 따라, 오류 조기 검출
- 인스펙션 -> 워크스루의 발전, 산출된 결과물 품질 평가 및 개선 방법 제시
- 동적 테스트 -> 실행 O, 모든 단계
- 화이트박스 테스트 / 블랙박스 테스트
테스트 기반에 따라
- 명세 기반 테스트 -> 사용자 요구사항 명세
- 구조 기반 테스트 -> SW 내부 논리 흐름
- 경험 기반 테스트 -> 테스터의 경험, 체크리스트
시각에 따라
- Verification 검증 테스트 -> 개발자 시각, 제품 명세서
- Validation 확인 테스트 -> 사용자 시각, 사용자 요구사항
목적에 따라
- Recovery 회복 테스트 -> 실패시키고 올바르게 복구되는가
- Security 안전 테스트 -> 보호 도구가 볼법 침입으로부터 보호하는가
- Stress 강도 테스트 -> 과부하 시 정상적으로 실행되는가
- Performance 성능 테스트 -> 실시간 성능, 전체 효율성 등 응답시간 및 처리량
- Structure 구조 테스트 -> 내부 논리적 경로, 소스코드 복잡도
- Regression 회귀 테스트 -> 변경/수정된 코드에 새로운 결함이 없는가. 즉 반복 테스트
- Parallel 병행 테스트 -> 변경된 SW와 기존 SW 동일한 데이터 입력해서 결과 비교
테스트 기법에 따라
화이트박스 테스트
- 내부 논리적 경로 및 모듈 안의 내용 볼수 있어서, 내부의 논리적인 모든 경로 테스트
- 종류
- 기초경로 검사 -> 대표적. 절차적 설계의 논리적 복잡성 측정
- 제어구조 검사 -> 조건 검사: 논리적 조건
- 검증 기준
- 문장 검증 기준 -> 모든 구문 한 번 이상
- 분기 검증 기준 -> 모든 조건문의 조건식 결과가 (True, False) 한 번 이상
- 조건 검증 기준 -> 조건문의 개별 조건식 결과가 (True, False) 한 번 이상
- 분기/조건 기준 -> 분기 검증 기준, 조건 검증 기준 모두 만족
블랙박스 테스트
- 각 기능이 완전히 작동되는 것을 입증하는 테스트
- 종류
- 동치 분할 검사 Equivalence Partitioning Testing
- 타당/타당하지 않은 입력 자료 개수가 균등할 때, 입력자료에 맞는 결과가 출력되는지 확인
- 경계값 분석 Boundary Value Analysis
- 중간값보다 경계값에서 오류 발생 확률 높음. 경계값을 테스트 케이스로
- 원인-효과 그래프 검사 Cause-Effect Graphing Test
- 입력 데이트간 관계와 출력에 영향 미치는 상황 분석 후, 효용성 높은 테스트 케이스 선정
- 오류 예측 검사 Error Guessing
- 비교 검사 Comparison Testing
- 여러 버전에 동일한 테스트 자료 제공, 동일한 결과 출력되는지 테스트
=> 동적 테스트, 명세 기반 테스트, 경험 기반 테스트에 해당