개발자라면 한번쯤은 보러오는 곳

CSRF(Cross-Site Request Forgery) == one-click attack == session riding - 권한이 없는 command가 웹사이트를 신뢰하는 유저로 부터 전송 XSS -> client가 당함 CSRF -> Server가 당함 웹 서버가 관리자 계정에 대한 새 암호를 설정하기 위해 현재 암호를 요구하지 않는다고 가정합니다. 공격자는 관리자의 다음 요청이 자신의 암호를 재설정한다는 것을 알고 있습니다. 보안점 안전한 세션 관리 – 쿠키뿐만 아니라 GET 및 POST 매개변수에서 인증을 요구합니다. – HTTP 리퍼러 헤더 확인 – 인증 쿠키의 수명 제한 – POST 처리 시 GET 매개변수 무시 – 모든 양식 제출에 비밀, 사용자별 토큰 요구 SQL Injection 애..

OAuth Mine == Client : 우리가 만든 서비스 User == Resource Owner : 우리의 서비스 이용자 Their == Resource Server : 우리가 제어하고자 하는 자원을 가지고 있는 서버, 데이터를 가지고 있는 서버 Authorization Server : 인증과 관련된 처리를 전담하는 서버 Client ID : 만들고 있는 애플리케이션을 식별 가능하게 해주는 ID Client Secret : 외부 노출 X, Secret Code Authorized redirect URLs : Authorized code 전달 받는 곳 -> 임시 비밀번호 엑세스 토큰 발급 Oauth의 목적 : 엑세스 토큰을 발급하는 것 인증 완료하면 authorization code 삭제 Resouc..

Web - Client/server model on TCP/IP -> client: browser that requests, receives, “displays” Web objects - > server: Web server sends objects in response to requests - Stateless protocol - HTTP 1.1: RFC 2068 Web Shell - 웹 서버가 유저에게 실행파일을 업로드를 허용할때 취약점 -> 파일 업로드, 지원서 업로드,... - 해커는 시스템 명령을 실행합니다. 마치 텔넷으로 로그인한 것처럼 강력합니다. 대책 - 파일 업로드 금지가 안된다면 - 특정 확장자/크키 확인 - 확장자 명 제한 - 실행 권한 삭제 - root 권한으로 가지고 있직 삭제 s..

Intrusion Detection System(침입 탐지 시스템) - 악의적인 활동이나 정책 위반에 대해 네트워크 및 시스템 활동을 모니터링하고 관리 스테이션에 보고서를 생성하는 장치 또는 소프트웨어 응용 프로그램 - Firewall(침입 차단 시스템) - IPS(Intusion prevent sytstem) 침입 방지 시스템 == IDS + Firewall Confusion Matrix(혼돈 행렬) Host-based IDS - 외부 인터페이스의 네트워크 패킷이 아닌 컴퓨팅 시스템의 내부를 모니터링하고 분석하는 침입 탐지 시스템 - 컴퓨터 시스템의 내부를 감시하고 분석하는 데 중점을 둠 - 개인의 워크스테이션, 서버에 설치될 수 있으며, 컴퓨터 자체를 제한 - 운영체제에 설치된 사용자 계정에 따라 어..

Firewall 승인된 통신을 허용하면서 승인되지 않은 액세스를 차단하도록 설계된 컴퓨터 시스템 또는 네트워크의 일부 네트워크를 허용하거나 거부하도록 구성/ 일련의 규칙에 기반한 전송(규직-설정, 정책) 전통적으로 방화벽은 레이어 3에서 작동하지만 레이어 2도 가능합니다. Link Level에서 packet만 보냄 Transparent == 투명한 Stateless Weakness of stateless firewall Performance disadvantage - 규칙이 하나의 패킷을 수락하면 동일한 연결에서 후속 패킷도 수락합니다. -> stateless 는 안함 Security hole - 공격자가 TCP 세션을 공격한다. Stateful - 패킷이 첫 번째 규칙과 일치하면 방화벽은 ftp 메세지..

ARP spoofing - 공격자는 LAN에서 데이터 프레임을 스니핑 하거나 트래픽을 수정하거나 트래픽을 완전히 중지 할 수 있다. - ARP poisoning, ARP flooding, ARP poison routing Man-in-the-middle-attack(MITM) - 양쪽 클라이언트의 대리인 역할을 하는 중간 당사자의 존재로 인해 발생하는 일반적인 문제 - Diffie-Hellman이 이 공격에 약하다 대책 PKI -> 공인인증서 One-time pad Strong mutual authentication Second channel verification Smurf attack == ARP - 공격 대상자에게 많은 ICMP 에코 응답 메세지를 발행 - 집계된 메세지를 통해 피해자의 정상적인 작..

Certificate - Public Key - 키 소유의 식별자 - 신뢰할 수 있는 제3자가 서명한 전체 블록 당사자(인증기관) X.509 Certificate Public Key Infrastructure(PKI) 인증서 인증서 검색을 위한 저장소 인증서를 취소하는 방법 신뢰 앵커에서 대상 이름에 이르는 인증서 체인을 평가하는 방법 적임자 확인 방법 Certification revocation - CA(Certification Authority) and RA(Ragistration Authority) 인증기관과 등록기관 - 인증기관에 유효 기간이 있다. - 만료전에 취소해야 할 수 있음 사용자의 개인키가 손상되었을 때 사용자가 더이상 이 CA의 인증을 받지 않을 때 CA 인증서가 훼손되었을 때 - C..

Secure Socket Layer(SSL) 전송 계층 보안 서비스 == TLS(Transport Layer Security) 신뢰 할 수 있는 end-to-end 서비스를 제공하기 위해 TCP를 사용한다. SSL은 두개의 프로토콜 계층을 가지고 있다 Run on top of TCP 헤더와 페이로드들로 구성된 레코드라는 자체 유닛이 있다. user data, handshake messages, alerts, change cipher spec 등 4가지 record가 있다. TLS seesion 클라이언트와 서버간의 연결 핸드세이크 프로토콜에 의해 생성 일련의 암호화 매개변수 정의 여러 TSL 연결을 통해 공유 가능 message integrity 공유 비밀 키가 있는 MAC 사용 HMAC과 유사하지만 패..