본문 바로가기

Computer/Computer Security19

배포 환경 보안 체크리스트 취약점 유형❗ HTTPS 미사용설명: HTTP는 모든 데이터가 평문으로 노출 → 로그인, 토큰, 개인정보 유출 가능방어전략:✅ Let’s Encrypt 등으로 무료 SSL 인증서 적용✅ Nginx에서 80 → 443 리디렉션 설정✅ Strict-Transport-Security 헤더 추가 (HSTS)취약점 유형❗ 쿠키 설정 미흡설명: 쿠키가 JS에서 접근 가능하거나 다른 도메인에서 전송되면 위험방어전략:✅ HttpOnly, Secure, SameSite=Strict 옵션 적용✅ 인증용 토큰은 HttpOnly 쿠키에만 저장✅ 서브도메인 간 쿠키 공유 시 SameSite=None + Secure 필요취약점 유형❗ 잘못된 CORS 설정설명: Access-Control-Allow-Origin: * + withC.. 2025. 4. 1.
Spring Boot 보안 체크리스트 취약점 유형❗ 인증 우회 (Authentication Bypass)설명: 인증 없이 보호된 API에 접근하는 공격방어전략:✅ Spring Security에서 .anyRequest().authenticated() 설정✅ @AuthenticationPrincipal로 로그인 사용자 정보 검증✅ 인증 예외 경로(/login, /signup)만 .permitAll() 처리취약점 유형❗ 권한 우회 (Authorization Bypass)설명: 일반 사용자가 관리자 기능 또는 다른 유저 데이터 접근방어전략:✅ @PreAuthorize("hasRole('ADMIN')") 또는 @Secured("ROLE_ADMIN")✅ 사용자 리소스 접근 시 if (userId != principalId) 검증✅ 모든 민감 API에 .. 2025. 4. 1.
React 보안 체크리스트 취약점 유형❗ XSS (Cross Site Scripting)설명: 사용자 입력을 DOM에 직접 렌더링하면 악성 스크립트가 실행될 수 있음방어전략:✅ dangerouslySetInnerHTML 지양 or DOMPurify 사용✅ 사용자 입력 escape✅ Content-Security-Policy(CSP) 설정취약점 유형❗ LocalStorage/SessionStorage에 민감정보 저장설명: JS로 접근 가능한 저장소 → XSS에 노출되면 토큰 탈취 가능방어전략:✅ accessToken은 React 메모리나 HttpOnly 쿠키에 저장❌ localStorage에 저장하지 않기취약점 유형❗ CSRF (Cross-Site Request Forgery)설명: 다른 사이트에서 요청을 보내도 브라우저가 쿠키를 .. 2025. 4. 1.
웹 개발자, 특히 풀스택 개발자라면 반드시 알고 있어야 할 사이버 공격 종류 웹 개발자, 특히 풀스택 개발자라면 반드시 알고 있어야 할 사이버 공격 종류보안은 “취약점을 막는 것”이 아니라 “공격당해도 피해를 최소화하는 것”1. XSS (Cross-Site Scripting)요약사용자의 브라우저에 악성 스크립트를 삽입사용자 쿠키/토큰 탈취, 리디렉션, 키로깅 등 가능예시방어dangerouslySetInnerHTML 지양입력값 escapeContent-Security-Policy 설정DOMPurify, xss 필터 사용XSS 방어 4대 수칙1. CSP (Content-Security-Policy) 설정브라우저에게 **"어디서 로드한 스크립트만 실행해!"**라고 알려주는 보안 헤더적용 방법 (예: Vite + Nginx + Netlify 등)(1) index.html 안에 추가:(.. 2025. 4. 1.
네트워크 보안 01. 네트워크 보안의 개요■ 컴퓨터 네트워크컴퓨터 간의 상호 접속 및 정보교환 수단다양한 사용자 접근 가능침입자에 의한 보안사고 가능성 존재■ 네트워크 보안의 목적가정: 통신회선상의 정보는 항상 노출 가능목표: 통신회선상의 정보 보호■ 보안 위협 요소물리적 위협:네트워크 시스템에 대한 직접적인 파괴나 손상을 입히는 행위장비 파괴, 도난 등기술적 위협:수동적 공격: 정보 도청(정보를 무단으로 취득)능동적 공격: 정보 변조, 위조■ 네트워크 보안수동적 공격과 능동적 공격에 대한 대응을 총칭수동적 공격 방어:통신 회선 접근 차단데이터 암호화능동적 공격 방어:데이터 암호화수신 측 무결성 검증02. 네트워크 보안의 목표기밀성: 정보 노출 방지무결성: 데이터 위조 및 변조 방지가용성: 합법 사용자 접근 가능 보장.. 2025. 3. 28.
서버 보안 서버 보안 개요기본 구성클라이언트: 서버에 요청을 보내는 컴퓨터서버: 서비스를 제공하는 컴퓨터통신채널: 인터넷을 통해 데이터 교환구성도클라이언트(App → OS → 트래픽 제어, 암호화) ⇅ 인터넷 ⇅서버(App → OS → 트래픽 제어, 암호화)서버 침입 과정 (4단계)1️⃣ 정보 수집: 공격 대상 결정2️⃣ 권한 획득: 일반 사용자 → 관리자 권한 상승3️⃣ 공격 수행: 로그 삭제, 백도어 설치4️⃣ 재침입: 다른 시스템 공격, 정보 유출 등서버 공격 유형1. 계정 크랙 공격방식 설명전수 공격 (Brute Force)가능한 모든 패스워드를 시도사전 공격 (Dictionary)사전 파일에 있는 단어들로 시도 (빠름)• 사전 파일: 서버를 이용하는 사람의 다양한 정보로 생성2. 네트워.. 2025. 3. 26.
사이버 공격 사이버 공격 개요정의: 인터넷을 통해 다른 컴퓨터에 접속하여 시스템을 손상시키거나 무단 침입하는 행위기본 방식: 시스템 설정 오류, 보안 취약점 등을 악용하여 관리자 권한을 탈취 기술 발전에 따른 공격 다양화네트워크 패킷 조작웹사이트 취약점 악용무선 환경에서의 스마트폰 공격 다양한 사이버 공격악성코드(malicious Code, Malware)악의적인 용도로 사용될 수 있는 코드가 심어진 유해 프로그램의 총칭악성코드 종류: 바이러스, 웜, 트로이 목마, 백도어, 스파이웨어, 랜섬웨어 등무분별한 인터넷 사용으로 인한 감염이 많음예방 방법: 의심스러운 웹사이트 방문 자제, 수상한 이메일 확인하지 않기, 문자나 메신저로 오는 인터넷 주소 함부로 접속하지 않기, 이메일 문자 메신저로 받은 첨부 파일 함부로 열지.. 2025. 3. 25.
인증 1. 인증의 개념어떤 실체가 정말 그 실체가 맞는지 확인하는 과정실체는 다음과 같은 것들이 될 수 있음:메시지 인증: 메시지가 변조되지 않았음을 검증사용자 인증: 사용자가 본인이 맞는지 검증출처 인증: 데이터가 신뢰할 수 있는 출처에서 왔는지 검증장치 인증: 특정 장치가 허가된 장치인지 검증2. 메시지 인증메시지의 무결성(Integrity) 보장 → 전송 중 변조되지 않았음을 확인2.1 메시지 인증 코드 (MAC, Message Authentication Code)MAC은 메시지의 변조 여부를 확인하는 데 사용되는 코드로, 비밀키를 기반으로 생성됨.(단, MAC은 메시지를 보호하지만 기밀성은 제공하지 않음)송신 과정메시지 → MAC 알고리즘(비밀키 K) → MAC 생성메시지 + MAC을 함께 전송수신 과.. 2025. 3. 17.
암호의 개념 암호는 안전하지 않은 채널을 통해 정보를 주고받더라도 제3자가 내용을 알 수 없도록 보호하는 기술이다.기본 개념평문 (Plaintext): 원래의 메시지암호문 (Ciphertext): 코드화된 메시지암호화 (Encryption): 평문 → 암호문복호화 (Decryption): 암호문 → 평문키 (Key): 암호화 및 복호화를 위한 중요한 값Kerckhoff의 원리: 암호 알고리즘이 알려져도 키를 모르면 해독할 수 없도록 설계해야 한다.암호의 역사고대 암호스테가노그래피 (Steganography): 메시지 자체를 숨기는 기법 (ex. 나무판에 조각 후 밀랍으로 덮어 전달)전치법 (Transposition Cipher): 문자의 순서를 바꿔 암호화 (ex. 애너그램)치환법 (Substitution Ciphe.. 2025. 3. 17.

티스토리툴바