Computer/Computer Security16 React Native 보안 체크리스트 취약점 유형❗ 네트워크 평문 통신 (MITM)설명: HTTPS 대신 HTTP 또는 SSL 미설정 시, 중간자 공격에 노출방어전략:✅ 모든 API 요청은 HTTPS 사용✅ SSL 핀닝 적용 (react-native-ssl-pinning)✅ 인증서 유효성 검증 (서명, CN 확인 등)취약점 유형❗ 민감 정보 평문 저장설명: 토큰, 비밀번호, 사용자 정보가 암호화 없이 저장될 경우 노출 위험방어전략:✅ react-native-encrypted-storage, SecureStore, Keychain 사용✅ AsyncStorage에는 민감 정보 절대 저장 금지✅ 저장 시 AES 기반 암호화 적용취약점 유형❗ 디버그 코드 유출설명: __DEV__, console.log, debugger 코드가 빌드에 포함되면 정보.. 2025. 4. 1. 웹 보안 및 모바일 보안 01. 웹 보안의 개요웹 서비스 구조웹 클라이언트 (브라우저) ↓ HTTP웹 서버 ↔ 웹 애플리케이션 ↔ DB보안 필요성모든 구성 요소에서 공격 가능성 존재특히 웹 애플리케이션 ↔ DB 사이에 취약점 많음네트워크 구간은 SSL/TLS로 보호 가능하지만, 애플리케이션과 DB 보안은 별도 대책 필요02. 웹 보안 위협 요소1. SQL Injection (SQL 삽입 공격)쿼리에 악성 SQL문을 삽입해서 인증 우회나 데이터 탈취예시:SELECT * FROM users WHERE id = '$id' AND pw = '$pw';입력값에 ' OR '1'='1 넣으면 무조건 참이 돼서 인증 우회 가능방어법Prepared Statement (매개변수 바인딩)입력값 검증최소 권한 DB 계정 사용2. XSS (Cr.. 2025. 4. 1. 이메일 보안 이메일 보안이메일의 문제점이메일은 여러 서버/라우터를 거쳐 전송되며, 내용이 노출될 수 있음.마치 엽서처럼 내용이 쉽게 도청/변조될 위험이 있음.해결책: 보안 도구PGP (Pretty Good Privacy)S/MIME (Secure/Multipurpose Internet Mail Extension)→ 이메일에 기밀성, 인증, 무결성, 부인방지 기능 제공PGP (Pretty Good Privacy)개요이메일을 암호화 + 전자서명해서 보안 보장대칭키(세션키) + 공개키 암호 방식을 하이브리드로 사용메일 내용 암호화 → 서명 → 압축 → ASCII 변환(Radix-64) 순서로 전송제공 보안 서비스(주요 알고리즘)인증메시지 해시 → 개인키로 서명 → 수신자가 공개키로 검증SHA, DSA, RSA기밀성세션키로.. 2025. 4. 1. DB(데이터베이스) 환경 보안 체크리스트 취약점 유형❗ SQL Injection설명: 사용자 입력이 SQL 쿼리 문자열로 조작되어 DB를 탈취/삭제하는 공격방어전략:✅ JPA, MyBatis, QueryDSL 등에서 파라미터 바인딩 사용✅ 입력값 직접 SQL에 연결하지 않기✅ PreparedStatement 사용 필수✅ 입력값 escape는 보조 수단 (기본은 바인딩 처리)취약점 유형❗ 과도한 권한 설정설명: DB 사용자에게 모든 권한(ALL PRIVILEGES) 부여 시 데이터 유출/삭제 위험방어전략:✅ 사용자별 최소 권한 부여 (SELECT, INSERT 등 필요한 것만)✅ READ ONLY, READ WRITE 권한 분리✅ 운영/개발/테스트 환경별 계정 분리취약점 유형❗ 비밀번호 평문 저장설명: 사용자 비밀번호를 DB에 그대로 저장할 경우.. 2025. 4. 1. 보안 시스템 II 보안 시스템 II (침입탐지 시스템 IDS / 침입방지 시스템 IPS)01. 침입탐지 시스템 (IDS: Intrusion Detection System)🔹 개념네트워크나 시스템에서 비정상적인 행위나 공격 시도를 탐지하는 시스템탐지만 가능하며, 자동 차단은 ❌ (→ IPS와 차이)🔹 주요 기능사용자/시스템 행위 모니터링시스템 설정과 취약성에 대한 감사기록시스템 무결성 평가 (파일 변조 여부 등)알려진 공격 패턴(시그니처) 탐지통계 분석, 비정상 행위 감지🔹 구성 요소모니터링부센서 → 데이터 수집 (로그, 트래픽 등)분석 및 조치부(모니터링부에서) 수집된 데이터를 (가공, 축약) 분석 → 침입 여부 판단 후 알림 → 조치관리부정책 설정, 전체 IDS 시스템 제어🔹 IDS의 동작 방식별 분류응용 기반애.. 2025. 4. 1. 보안 시스템 I 01. 보안 시스템 개요보안 시스템이란?사이버 공격을 탐지하거나 차단하는 시스템주요 구성:침입차단시스템 (Firewall): 외부로부터 차단침입탐지시스템 (IDS): 공격 탐지침입방지시스템 (IPS): 탐지 + 차단가상사설망 (VPN): 외부에서도 안전한 내부망 사용네트워크 접근제어 시스템 (NAC): 인증 안 된 장치 차단02. 침입차단시스템 (방화벽, Firewall)개념외부에서 내부 네트워크로 접근하려는 불법 사용자나 위협 요소를 차단네트워크 경계에서 트래픽을 검사하고 통제함방화벽 구성 방식① 패킷 필터링 (Packet Filtering)OSI 3~4계층에서 동작 (IP, TCP/UDP 헤더 검사)IP 주소, 포트번호, 프로토콜 기반으로 통과 여부 판단장점속도가 매우 빠름 (단순 검사)사용자에게 투.. 2025. 4. 1. 배포 환경 보안 체크리스트 취약점 유형❗ HTTPS 미사용설명: HTTP는 모든 데이터가 평문으로 노출 → 로그인, 토큰, 개인정보 유출 가능방어전략:✅ Let’s Encrypt 등으로 무료 SSL 인증서 적용✅ Nginx에서 80 → 443 리디렉션 설정✅ Strict-Transport-Security 헤더 추가 (HSTS)취약점 유형❗ 쿠키 설정 미흡설명: 쿠키가 JS에서 접근 가능하거나 다른 도메인에서 전송되면 위험방어전략:✅ HttpOnly, Secure, SameSite=Strict 옵션 적용✅ 인증용 토큰은 HttpOnly 쿠키에만 저장✅ 서브도메인 간 쿠키 공유 시 SameSite=None + Secure 필요취약점 유형❗ 잘못된 CORS 설정설명: Access-Control-Allow-Origin: * + withC.. 2025. 4. 1. Spring Boot 보안 체크리스트 취약점 유형❗ 인증 우회 (Authentication Bypass)설명: 인증 없이 보호된 API에 접근하는 공격방어전략:✅ Spring Security에서 .anyRequest().authenticated() 설정✅ @AuthenticationPrincipal로 로그인 사용자 정보 검증✅ 인증 예외 경로(/login, /signup)만 .permitAll() 처리취약점 유형❗ 권한 우회 (Authorization Bypass)설명: 일반 사용자가 관리자 기능 또는 다른 유저 데이터 접근방어전략:✅ @PreAuthorize("hasRole('ADMIN')") 또는 @Secured("ROLE_ADMIN")✅ 사용자 리소스 접근 시 if (userId != principalId) 검증✅ 모든 민감 API에 .. 2025. 4. 1. React 보안 체크리스트 취약점 유형❗ XSS (Cross Site Scripting)설명: 사용자 입력을 DOM에 직접 렌더링하면 악성 스크립트가 실행될 수 있음방어전략:✅ dangerouslySetInnerHTML 지양 or DOMPurify 사용✅ 사용자 입력 escape✅ Content-Security-Policy(CSP) 설정취약점 유형❗ LocalStorage/SessionStorage에 민감정보 저장설명: JS로 접근 가능한 저장소 → XSS에 노출되면 토큰 탈취 가능방어전략:✅ accessToken은 React 메모리나 HttpOnly 쿠키에 저장❌ localStorage에 저장하지 않기취약점 유형❗ CSRF (Cross-Site Request Forgery)설명: 다른 사이트에서 요청을 보내도 브라우저가 쿠키를 .. 2025. 4. 1. 이전 1 2 다음
