์ด๋ก ์ ๋ฆฌ/์ ๋ณด๋ณด์(7)
-
[์ ๋ณด๋ณด์ ์ด๋ก ] WAF, Web Application Firewall ์ด๋?
2023 ์๊ธฐ์ฌ ์ ๋ณด๋ณด์๊ธฐ์ฌ(์ฐ์ ๊ธฐ์ฌ) ํ๊ธฐ+ํต์ฌ๊ธฐ์ถ 1200์ :2013~2022๋ ๊ธฐ์ฌ/์ฐ์ ๊ธฐ์ฌ ๊ธฐ์ถ๋ฌธ์ ์๋ฒฝ COUPANG www.coupang.com "์ด ํฌ์คํ ์ ์ฟ ํก ํํธ๋์ค ํ๋์ ์ผํ์ผ๋ก, ์ด์ ๋ฐ๋ฅธ ์ผ์ ์ก์ ์์๋ฃ๋ฅผ ์ ๊ณต๋ฐ์ต๋๋ค." ์ด๋ฒ์๋ WAF๋ฅผ ๊ตฌ์ถํ๊ธฐ ์ ์ WAF๊ฐ ๋ฌด์์ด๊ณ , ์ด๋ค ๊ธฐ๋ฅ์ ํตํด ๋ณด์์ ๊ฐํ ํ ์ ์๋์ง ๊ณต๋ถํด ๋ณด๋ ค๊ณ ํด์. 1. ์ ๋ณด ๋ณด์ 1 - Firewall 1) WAF WAF; Web Application Firewall์ ์ผ๋ฐ์ ์ธ ๋คํธ์ํฌ ๋ฐฉํ๋ฒฝ(Firewall)๊ณผ ๋ฌ๋ฆฌ Web Application์ ๋์์ผ๋ก ์๋๋๋ ๊ณต๊ฒฉ์ ์ฐจ๋จํด์ฃผ๋ ๋ณด์ ์ฅ๋น์์. WAF์ ๊ธฐ๋ณธ ์ญํ ์ SQL Injection, Cross Site Script(XSS) ๋ฑ๊ณผ ๊ฐ์ ์น ๊ณต๊ฒฉ..
2023.02.21 -
[์ด๋ก ์ ๋ฆฌ] IDS์ IPS๋?
2023 ์๊ธฐ์ฌ ์ ๋ณด๋ณด์๊ธฐ์ฌ(์ฐ์ ๊ธฐ์ฌ) ํ๊ธฐ+ํต์ฌ๊ธฐ์ถ 1200์ :2013~2022๋ ๊ธฐ์ฌ/์ฐ์ ๊ธฐ์ฌ ๊ธฐ์ถ๋ฌธ์ ์๋ฒฝ COUPANG www.coupang.com "์ด ํฌ์คํ ์ ์ฟ ํก ํํธ๋์ค ํ๋์ ์ผํ์ผ๋ก, ์ด์ ๋ฐ๋ฅธ ์ผ์ ์ก์ ์์๋ฃ๋ฅผ ์ ๊ณต๋ฐ์ต๋๋ค." ๐ ์นจ์ ๋ฐฉ์ง์ ํ์ง ๐ฝ IDS(Intrusion Detection System) ๐ฆ ๊ฐ์ ์นจ์ ํ์ง ์์คํ ์ด๋ผ๊ณ ๋ ๋ถ๋ฆฌ๋ IDS๋ ๋คํธ์ํฌ์์ ์ฌ์ฉ๋๋ ์์์ ๋ฌด๊ฒฐ์ฑ, ๋น๋ฐ์ฑ, ๊ฐ์ฉ์ฑ์ ์ ํดํ๋ ๋น ์ ์์ ์ฌ์ฉ๊ณผ ์ค์ฉ, ๋จ์ฉ ๋ฑ์ ํ์๋ฅผ ๊ฐ๋ฅํ ์ค์๊ฐ์ผ๋ก ํ์งํ์ฌ ๊ด๋ฆฌ์์๊ฒ ๊ฒฝ๊ณ Message๋ฅผ ๋ณด๋ด์ฃผ๊ณ , ๋์ํ๋ System์ด์์. ์ฆ, ์นจ์ ํ์ง ์์คํ ์ ์ธ๋ถ ์นจ์ ์ ๋ํ ์ ๋ณด๋ฅผ ์์ง, ๋ถ์ํ์ฌ ์นจ์ ํ๋์ ํ์งํด ์ด์ ๋์ํ๋๋ก ๋ณด์ ๋ด๋น์์๊ฒ ํต๋ณดํ๋ ..
2023.02.21 -
[์ ๋ณด๋ณด์] JWT(JSON Web Token) ์ด๋?
๐ JWT(JSON Web Token) ๐ฝ ๊ฐ์ ์ด์ฉ์๊ฐ Login์ ํ ๋, ํด๋น ํ์์ ๊ณ ์ ํ Token์ ๋ง๋ค์ด์ผ ํ๋๋ฐ, ๊ทธ๋ `JWT`๋ฅผ ์ด์ฉํ๋ ๊ฒ์ด์์. ์ธ์ฆ์๋ ๋ํ์ 3์ธ๋ฐฉ์ด ์๋๋ฐ, `Cookie, Session, Token` ๋ฐฉ์์ด ์๋ ๊ฒ์ด์์. JWT๋ ๋น์ฌ์๊ฐ์ ์ ๋ณด๋ฅผ `JSON` ๊ฐ์ฒด๋ก ์์ ํ๊ฒ ์ ์กํ๊ธฐ ์ํ ๊ฐ๋ณ๊ณ , ๋ ๋ฆฝ์ ์ธ ๋ฐฉ์์ ์ ์ํ๋ ๊ฐ๋ฐฉํ ํ์ค(RFC 7519)์ธ ๊ฒ์ด์์. ์ด ์ ๋ณด๋ `Digital Sign` ๊ฐ๋ ์ด ๋ค์ด๊ฐ ์์ด ํด๋น ๊ฐ์ ํ์ธํ๊ณ , ์๋๋ฐฉ์ด ๋ณด๋๋ค๋ ๊ฒ์ ์ ๋ขฐํ ์ ์๋ ๊ฒ์ด์์. ์ข ๋ ๊ฐ๋จํ ์ด์ผ๊ธฐํ๋ฉด ์ ๋ณด๋ฅผ ์์ ํ๊ฒ ์ ๋ฌํ๊ธฐ ์ํด ํ์์ ๊ถํ ๊ฐ์ ๊ฒ์ ํ์ธํ๊ธฐ ์ํด ์ฌ์ฉํ๋ ์น๊ตฌ์ธ ๊ฒ์ด์์. JWT ๊ณต์ ํํ์ด์ง ๐ฆ ๊ตฌ์กฐ JWT๋ ์์ ๊ฐ์ด ..
2022.04.11 -
[HTTP Network] JWT - JSON Web Token
๐ JWT๋ ์ ์ฌ์ฉ ํ๋๊ฐ? Session ๋ฐฉ์์ ๊ณ ์ง์ ๋ฌธ์ ๋ฅผ ํด๊ฒฐํ๊ธฐ ์ํด ์ฌ์ฉํ๋ ๊ฒ์ด์์. ๐ JWT๋ฅผ ์ดํดํ๊ธฐ ์ํด OSI 7 Layer๋ฅผ ๊ฐ๋จํ๊ฒ ์์๋ณด์! ๐ JWT๋ฅผ ์ฌ์ฉํ๋ ์ด์ ๐ฝ ๋ณด์ ๋ฌธ์ CIA (๊ธฐ๋ฐ์ฑ, ๋ฌด๊ฒฐ์ฑ, ๊ฐ์ฉ์ฑ) ์ธก๋ฉด์ผ๋ก Data๋ฅผ ์์ ํ๊ฒ ์ํธํํ๊ณ , ๋ณด๋ด๊ธฐ ์ํด์ ์ฌ์ฉํ๋ ๊ฒ์ด์์. 1. ๋ณด์ํค(๊ฐ์ธํค) ์ ๋ฌ์ ๋ฌธ์ 2. Data๊ฐ ๋๊ตฌ๋ก๋ถํฐ ์๋์ง๋ฅผ ๊ฒ์ฆํด์ผ ํ๋ ๋ฌธ์ (์ธ์ฆ ๋ฌธ์ ๋์์ฑ ) ๐ฝ ํด๊ฒฐ ๋ฐฉ์ JWT์์๋ ์์ ๋ฌธ์ ๋ฅผ RSA ๋ฐฉ์์ ์ด์ฉํ์ฌ ํด๊ฒฐํ ๊ฒ์ด์์. RSA๋ DSS๋ผ๋ ์๋ช ์ ์ฉ ์ํธ ์๊ณ ๋ฆฌ์ฆ์ธ ๊ฒ์ด์์. RSA๋ ๊ณต๊ฐํค๋ก Data๋ฅผ ์ํธํ ํ ๋ค ์๋๋ฐฉ์๊ฒ ๋ณด๋ผ ๋ ์๋๋ฐฉ ๊ณต๊ฐํค๋ก ์ํธํํ์ฌ ๋ณด๋ด๊ฒ ๋๋ ๊ฒ์ด์์. ๋์นญํค (์๋ฉํธ๋ฆญ ํค) ๋ฐฉ์ ..
2022.01.18 -
[HTTP Network] Session
๐ Session ๋ฐฉ์ ์ ์์ ์ ์ต์ด ์์ฒญ ์ ์ด๋ค์ง๊ฒ ๋๋ ๊ฒ์ด์์. ๊ทธ ๋ค์ ์์ฒญ ๋ถํฐ๋ Session ID๋ฅผ ๊ฐ์ง๊ณ , ์ฉ์ฒญ์ ํ๊ณ , ์๋ต(๋ฐํ) ์ ๋์ผ ๊ฐ์ ์ ๋ฌํ์ฌ ํด๋น Session ID๊ฐ ์์ผ๋ฉด ์ฒ์ ๋ฐฉ๋ฌธํ ๊ฒ์ผ๋ก Web Server๋ ํ๋จํ๋ ๊ฒ์ด์์. ์ ์์ ์ธ ์ด์ฉ์๊ฐ ํ์ทจํ ์ํ์ ๋ง๊ธฐ ์ํด Session ID์ ๋ณ๊ฐ๋ก ๋ชฉ๋ก์ ์ด๋ค ๊ฐ์ ๋ฃ๊ณ , ์ต์ด ์์ฒญ์ Header์ Session ID์ ๋ชฉ๋ก์ ์ ์ฅํ ๊ฐ์ Client์๊ฒ ์ ๋ฌ ํด ์ฃผ๊ณ , Client๋ ๋ธ๋ผ์ฐ์ ๋ด๋ถ์ ์ด๊ฒ๋ค์ ์ ์ฅ์ ํ ๋ค ๊ทธ ๋ค์ ์์ฒญ ์ Session ID์ ๋ชฉ๋ก์ ์ ์ฅ๋ ๊ฐ์ ๊ฐ์ด ์ ๋ฌํ๊ณ , Server๋ ํด๋น ๊ฐ์ ๋น๊ตํ์ฌ ๋์ผํ ๊ฐ์ด ์์ผ๋ฉด ์ธ์ฆ์ ํ์ฉํ๊ณ , ์์ผ๋ฉด ์๋ก์ด ๊ฐ์ ๋ง๋ค์ด ๊ทธ ๊ฐ์ Serve..
2022.01.18 -
CSRF(Cross Site Request Forgery) ๊ณต๊ฒฉ์ด๋?
Cross site Request forgery๋ก ์ฌ์ด์ฆ๊ฐ ์์กฐ ์์ฒญ์ธ๋ฐ, ์ฆ ์ ์์ ์ธ ์ด์ฉ์๊ฐ ์๋์น ์์ ์์กฐ ์์ฒญ์ ๋ณด๋ด๋ ๊ฒ์ ์๋ฏธํ๋ ๊ฒ์ด์์. ์๋ฅผ ๋ค์ด A๋ผ๋ ๋๋ฉ์ธ์์, ์ธ์ฆ๋ ์ฌ์ฉ์ H๊ฐ ์์กฐ๋ request๋ฅผ ํฌํจํ link, email์ ์ฌ์ฉํ์์ ๊ฒฝ์ฐ(ํด๋ฆญ, ๋๋ ์ฌ์ดํธ ๋ฐฉ๋ฌธ๋ง์ผ๋ก๋), A ๋๋ฉ์ธ์์๋ ์ด ์ด์ฉ์๊ฐ ์ผ๋ฐ ์ ์ ์ธ์ง, ์ ์ฉ๋ ๊ณต๊ฒฉ์ธ์ง ๊ตฌ๋ถํ ์๊ฐ ์๋ ๊ฒ์ด์์. CSRF protection์ Spring Security์์ default๋ก ์ค์ ๋ฉ๋๋ค. ์ฆ, protection์ ํตํด GET์์ฒญ์ ์ ์ธํ ์ํ๋ฅผ ๋ณํ์ํฌ ์ ์๋ POST, PUT, DELETE ์์ฒญ์ผ๋ก๋ถํฐ ๋ณดํธํ๋ ๊ฒ์ด์์. csrf protection์ ์ ์ฉํ์์ ๋, html์์ ๋ค์๊ณผ ๊ฐ์ csrf..
2021.12.20