서버운영 (TA, ADMIN)/정보보안 (26) 리스트형 [정보보안] REST JWT(JSON Web Token) 이란? JWT(JSON Web Token)을 이용한 API 인증 개인 학습 목적으로 원본블로그로부터 그대로 옮긴 포스팅입니다. 원본 출처는 조대협의 블로그 : http://bcho.tistory.com/999, http://bcho.tistory.com/1000 REST API에 대한 보안과 인증이 화두가 되면서 많이 언급되는 것이 OAuth인데, 근래에 들어서 화두가 되고 있는 것은 JWT(JSON Web Token)이라는 표준입니다. Claim 기반 토큰의 개념 OAuth에 의해서 발급되는 access_token은 random string으로 토큰 자체에는 특별한 정보를 가지고 있지 않는 일반적인 스트링 형태입니다. 아래는 페이스북에서 발급된 access_token의 형태로 일반적인 문자열 형태임을 확인할 .. [정보보안] SSL 방식 보안서버 구축하기 1. 소개 및 보안서버 구축 절차 가. 개요SSL은 Secure Sockets Layer의 머리글이며, 1994년 Netscape에 의해 전세계적인 표준 보안 기술이 개발되었습니다. SSL 방식은 웹브라우저와 서버간의 통신에서 정보를 암호화함으로써 도중에 해킹을 통해 정보가 유출되더라도 정보의 내용을 보호할 수 있는 기능을 갖춘 보안 솔루션으로 전세계적으로 수 백 만개의 웹사이트에서 사용하고 있습니다. 아래는 SSL 보안에 대해 그림으로 간단하게 설명해 놓은 것입니다. 인증기관(Certification Authorities)에서 제공하는 SSL 인증서를 발급받아 웹서버에 설치하게 되면 웹사이트 이용자들의 거래, ID/패스워드, 개인정보 등을 암호화하여 송수힌할 수 있습니다. 나. 보안서버 구축 절차SSL.. [리눅스] 해킹과 관련된 리눅스 디렉토리 리눅스는 파일 구조가 좀 다르긴 하지만 대개의 웹 애플리케이션의 /var/www/ 디렉토리에 위치합니다. 리눅스 웹 서버에는 다음과 같이 특별히 웹 해킹과 관계된 몇 개의 디렉터리가 있습니다. /etc/shadow이 파일에는 시스템의 모든 사용자 비밀번호 해쉬 값이 저장되기 때문에 "궁전으로가는 열쇠"라고 부르기도 합니다. /usr/lib이 디렉터리에는 일반 사용자나 쉘 스크립트로 실행되지 않는 오브젝트 파일과 내부 바이너리를 포함합니다. 또한 응용 프로그램에서 사용하는 모든 의존성 데이터 역시 이 디렉터리에 존재합니다. 여기에 실행 파일은 없지만 응용프로그램이 참조하는 모든 파일을 지워버리는 공격이 가해질 수도 있습니다. /var/*이 디렉터리에는 데이터베이스에 관련된 파일, 시스템 로그, 웹 애플리케.. [정보보안] 웹해킹의 기초 백엔드 프로그래밍에서 중요한 부분을 꼽자면, 보안처리도 매우 중요합니다. 보안을 알려면, 결국 해킹을 알아야해서, 오늘 포스팅은 웹해킹에 대한 포스팅입니다. 보안 코딩시 훨씬 이해가 수월하겠죠. 공격에 필요한 업무는 다음 네 가지 단계로 구분됩니다. 1. 사전 조사2. 취약점 스캐닝3. 공격하기4. 문제점 고치기 이러한 취약점과 공격 방법을 완화시키는 방법을 검토하여 문제점을 고치는 단계에서의 해결이 필요합니다. 모의해킹을 하거나 윤리적인 공격을 할 때에도 알려진 취약점을 어떻게 해결할 것인가에 관한 의문을 갖게 될 것입니다. 문제점을 고치는 단계에서 해당 질문에 대한 답이 내려집니다. * 해킹의 목표로 하는 것들 서로 연관있는 세 가지 공격 벡터로 웹 서버, 웹 애플리케이션, 웹 사용자를 목표로 합니다.. [정보보안] OWASP란? OWASP(Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트입니다. OWASP처럼 애플리케이션 보안에만 전념하는 여러 커뮤니티 그룹의 조직이 상당히 커지고 있습니다. OWASP는 가장 큰 오픈소스 웹 애플리케이션 보안 프로젝트로 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점(OWASP TOP 10)을 발표합니다. OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정한 문서입니다. 아래는 2017년 발표한 10대 웹 애플리케이션 취약점입니다. OWASP TOP 10 1. Injection(인젝션) SQL.. 이전 1 2 3 4 5 6 다음
