본문 바로가기

서버운영 (TA, ADMIN)

 (181)
[정보보안] 가장 흔한 웹 취약점 주입 공격주입공격의 문제점은 사용자의 신뢰되지 않은 데이터가 명령이나 또는 질의의 일부로 웹 애플리케이션에 바로 전달될 때 발생합니다. 공격자는 웹 애플리케이션을 속여 의도치 않은 명령을 수행하게 하거나 권한 없는 자료에 접근하도록 합니다. 주입공격은 해커가 웹애플리케이션에 먹인 악성 입력 값이 안전하지 않은 방식으로 작용할 때 일어납니다. 이것은 웹 애플리케이션을 공격하는 아주 오래된 방법 중 하나지만, 널리 퍼져 있고 대단히 파괴적이기 때문에 여전히 최고의 공격법입니다. 주입공격의 취약점은 웹 애플리케이션에서 사용자가 악의적으로 입력할 수 있는 곳이면 어디서나 발생할 수 있습니다. 가장 흔히 알려진 주입공격은 다음과 같은 기능을 목표로 합니다. 1. 구조화 조회 원어(Structured Query L..
[정보보안] REST JWT(JSON Web Token) 이란? JWT(JSON Web Token)을 이용한 API 인증 개인 학습 목적으로 원본블로그로부터 그대로 옮긴 포스팅입니다. 원본 출처는 조대협의 블로그 : http://bcho.tistory.com/999, http://bcho.tistory.com/1000 REST API에 대한 보안과 인증이 화두가 되면서 많이 언급되는 것이 OAuth인데, 근래에 들어서 화두가 되고 있는 것은 JWT(JSON Web Token)이라는 표준입니다. Claim 기반 토큰의 개념 OAuth에 의해서 발급되는 access_token은 random string으로 토큰 자체에는 특별한 정보를 가지고 있지 않는 일반적인 스트링 형태입니다. 아래는 페이스북에서 발급된 access_token의 형태로 일반적인 문자열 형태임을 확인할 ..
[서버관리] 톰캣과 아파치 웹서버 연동 아파치 웹 서버와의 연동 톰캣은 HTTP 서버 기능을 내장하고 있고 자바 NIO를 사용하는 커넥터를 구현하는 등 전보다 많은 성능 향상이 이루어졌지만 톰캣 단독으로 사용하기보다는 아파치 웹서버 등 별도의 웹서버와 연계해서 사용하는 경우가 많습니다. 이렇게 사용하는 데는 여러가지 이유가 있지만 주되 이유는 다음과 같습니다. 정적 콘텐츠 서비스 효율이 뛰어남웹서버가 이미지 파일이나 동영상 등 정적 콘텐츠를 제공하는 데 더 성능이 뛰어난 것으로 알려져 있습니다. 주의할 점은 특정상황(톰캣에 APR native와 sendFile 사용)에서는 톰캣이 정적 콘텐츠 처리도 더 빠른 경우도 있으므로 Apache Benchmark나 jMeter 등의 성능 측정 도구로 직접 서비스 사이트를 측정할 필요가 있습니다. 유연한..
[정보보안] SSL 방식 보안서버 구축하기 1. 소개 및 보안서버 구축 절차 가. 개요SSL은 Secure Sockets Layer의 머리글이며, 1994년 Netscape에 의해 전세계적인 표준 보안 기술이 개발되었습니다. SSL 방식은 웹브라우저와 서버간의 통신에서 정보를 암호화함으로써 도중에 해킹을 통해 정보가 유출되더라도 정보의 내용을 보호할 수 있는 기능을 갖춘 보안 솔루션으로 전세계적으로 수 백 만개의 웹사이트에서 사용하고 있습니다. 아래는 SSL 보안에 대해 그림으로 간단하게 설명해 놓은 것입니다. 인증기관(Certification Authorities)에서 제공하는 SSL 인증서를 발급받아 웹서버에 설치하게 되면 웹사이트 이용자들의 거래, ID/패스워드, 개인정보 등을 암호화하여 송수힌할 수 있습니다. 나. 보안서버 구축 절차SSL..
[인프라] 서버 모니터링 실제 실행 환경이 구동되면 장애 탐지나 각종 인프라 리소스 상태를 파악하기 위해 시스템을 모니터링해야 합니다. 서버 모니터링에 대한 개요와 클라우드 서비스로 Docker 컨테이너를 모니터링하는 방버에 대하여 알아봅니다. 서버 모니터링의 종류시스템 운영에서 가장 큰 목표는 시스템의 안정적인 구동입니다. 이를 위해 시스템을 구성하는 서버와 네트워크 상태를 모니터링하고 적절하게 관리해야 합니다. 다음은 가장 일반적인 서버 모니터링 항목입니다. 1. 장비 모니터링시스템을 구성하는 장비에 문제가 있는지 체크하여 하드웨어나 네트워크 장애 발생 유무를 확인합니다. 클라우드로 시스템을 구축한 경우에는 클라우드 서비스 정상 여부를 클러스터 밖에서 모니터링해야 한다. 2. 서비스 모니터링서비스에 문제가 있는지 체크합니다...

티스토리툴바