서버운영 (TA, ADMIN)/정보보안 (23) 리스트형 [정보보안] 웹해킹의 기초 백엔드 프로그래밍에서 중요한 부분을 꼽자면, 보안처리도 매우 중요합니다. 보안을 알려면, 결국 해킹을 알아야해서, 오늘 포스팅은 웹해킹에 대한 포스팅입니다. 보안 코딩시 훨씬 이해가 수월하겠죠. 공격에 필요한 업무는 다음 네 가지 단계로 구분됩니다. 1. 사전 조사2. 취약점 스캐닝3. 공격하기4. 문제점 고치기 이러한 취약점과 공격 방법을 완화시키는 방법을 검토하여 문제점을 고치는 단계에서의 해결이 필요합니다. 모의해킹을 하거나 윤리적인 공격을 할 때에도 알려진 취약점을 어떻게 해결할 것인가에 관한 의문을 갖게 될 것입니다. 문제점을 고치는 단계에서 해당 질문에 대한 답이 내려집니다. * 해킹의 목표로 하는 것들 서로 연관있는 세 가지 공격 벡터로 웹 서버, 웹 애플리케이션, 웹 사용자를 목표로 합니다.. [정보보안] OWASP란? OWASP(Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트입니다. OWASP처럼 애플리케이션 보안에만 전념하는 여러 커뮤니티 그룹의 조직이 상당히 커지고 있습니다. OWASP는 가장 큰 오픈소스 웹 애플리케이션 보안 프로젝트로 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점(OWASP TOP 10)을 발표합니다. OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정한 문서입니다. 아래는 2017년 발표한 10대 웹 애플리케이션 취약점입니다. OWASP TOP 10 1. Injection(인젝션) SQL.. [정보보안] 주목할 만한 HTTP 헤더 HTTP 사이클은 클라이언트가 요청할 때나 서버가 응답하는 자세한 내용을 헤더에 실어 보냅니다. 이러한 헤더는 여러 가지가 있습니다. 1. 웹서버가 설정해서 클라이언트 브라우저에 보내는 주요 헤더 정보 Set-Cookie: 이 값은 사용자의 세션이 유지되도록 보장하기 위하여 가장 흔하게 클라이언트에 제공하는 세션 식별자(쿠키)입니다. 해커가 사용자의 세션을 훔칠 수 있다면 공격자는 그 애플리케이션 내에서 해당 피해자인 척 가장할 수 있습니다. Content-Length: 이 값은 응답문의 바이트 단위 길이입니다. 이 값은 해커가 응용프로그램의 응답을 해독할 때 바이트 단위의 데이터를 예상할 수 있으므로 도움이 됩니다. 특별히 (반복적으로 추측하는) 무작위 대입법에 활용할 만합니다. Location: 이 .. [정보보안] SSL(Secure Socket Layer) 이란 현재 근무 중인 업체에서 SSL 인증서 적용 작업이 필요하다고 합니다. SSL 인증서관련 필요한 것이 무엇인지에 대한 요청이 있었습니다. 간단하게 SSL에 대해 정리해보겠습니다. 1. SSL 개념 잡기 SSL의 개념에 대해 살펴보겠습니다. 위키백과 설명입니다.SSL(Secure Socket Layer) 프로토콜은 처음에 Netscape사에서 웹서버와 브라우저 사이의 보안을 위해 만들었다. SSL은 Certificate Authority(CA)라 불리는 서드 파티로부터 서버와 클라이언트의 인증을 하는데 사용된다. 첫번째 그림은 SSL 아키텍처 구조를 나타낸 그림입니다. HTTP 프로토콜 상위에 통신시 보안을 위한 SSL 관련 프로토콜이 있는 방식입니다. 아래 그림은 서버-클라이언트간 통신을 나타낸 그림입니.. [정보보안] OAuth 정리 01. OAuth 정리 OAuth는 SaaS(Software as a Service) 형태입니다. 외부 서비스에서도 Facebook과 트위터의 일부 기능을 사용 가능하게. 별도의 인증 절차를 거치며 다른 서비스에서 Facebook과 트위터의 기능을 이용할 수 있게 되는 것입니다.이 방식에서 사용하는 인증 절차가 OAuth입니다. 02. OAuth의 탄생과 사용 OAuth는 인증을 위한 Open Standard Protocol입니다. Facebook이나 Twitter 같은 Internet Service 기능을 다른 애플리케이션(데스크톱, 웹, 모바일 등)에서도 사용 가능하게 합니다. OAuth의 탄생 이전에도 다른 애플리케이션에 사용자의 아이디와 암호가 노출되지 않도록 하면서 API 접근 위임(API Ac.. 이전 1 2 3 4 5 다음
