전체 글

JWT (JSON Web Token) 보안JWT는 웹 애플리케이션에서 정보를 안전하게 전송하기 위한 간결하고 자체 포함적인 방법주로 사용자 인증 및 인가(권한 부여)에 사용되며, 기존 세션 기반 인증 방식의 단점을 보완하지만 JWT 자체만으로 모든 보안이 해결되는 것은 아니며, 잘못 사용하면 여러 보안 취약점에 노출될 수 있음구조설명Header토큰의 타입(JWT)과 서명에 사용된 알고리즘(예: HS256, RS256)을 정의Payload클레임(Claim)이라고 불리는 실제 정보가 포함, 표준 클레임(iss, exp, sub 등), 공개 클레임, 비공개 클레임이 있습니다. 여기에 민감한 정보를 직접 넣는 것은 보안상 좋지 않음Signature인코딩된 헤더, 인코딩된 페이로드, 그리고 비밀 키(Secret ..

2025.07.01 - [Computer Science/보안] - OWASP Top 10, XSS, CSRF OWASP Top 10, XSS, CSRFOWASP (Open Worldwide Application Security Project)OWASP는 오픈소스 보안 프로젝트로, 보안 전문가들이 전 세계적으로 수집한 실데이터를 바탕으로 이 목록을 주기적으로 업데이트 함가장 최근 기준은 OWASP T0woy.tistory.com 보안 헤더 (Security Headers)보안 헤더는 웹 서버가 웹 브라우저로 응답을 보낼 때, HTTP 응답 헤더에 추가하여, 브라우저의 보안 기능을 강화하고 특정 유형의 공격을 완화하도록 지시하는 역할주요 보안 헤더:Strict-Transport-Security (HSTS)목..

OWASP (Open Worldwide Application Security Project)OWASP는 오픈소스 보안 프로젝트로, 보안 전문가들이 전 세계적으로 수집한 실데이터를 바탕으로 이 목록을 주기적으로 업데이트 함가장 최근 기준은 OWASP Top 10 – 2021OWASP Top 10은 웹 보안의 체크리스트개발자, 기획자, QA 등 모두가 의식적으로 확인해야 함각 항목은 실제 해킹 사례 기반보안 점검, 보안 코딩, 시스템 설계 시 필수 가이드라인각 항목은 위험도, 발생 빈도, 영향도 등을 종합해 순위를 매김 👇🏻 순위항목 코드취약점 이름설명1A01:2021Broken Access Control권한 없는 사용자가 데이터나 기능에 접근할 수 있는 문제2A02:2021Cryptographic F..

이전 글: 2025.06.30 - [Backend/Spring Security] - Spring Security 내부 구조 -1 Spring Security 내부 구조 -1스프링 시큐리티 공식 문서: https://docs.spring.io/spring-security/reference/servlet/architecture.html Spring Security 동작 원리시큐리티 의존성이 없는 경우, 클라이언트의 요청은 서버 컴퓨터 WAS의 필터들을 통과0woy.tistory.comSecurityFilterChain스프링 시큐리티 필터들의 묶음으로 실제 시큐리티 로직이 처리되는 부분추후 자세히 작성 예정 커스텀 SecurityFilterChain 등록스프링 시큐리티 의존성을 추가하면 `DefaultSecu..

스프링 시큐리티 공식 문서: https://docs.spring.io/spring-security/reference/servlet/architecture.html 다음 글 2025.06.30 - [Backend/Spring Security] - Spring Security 내부 구조 - 2 (SecurityFilterChain)Spring Security 동작 원리시큐리티 의존성이 없는 경우, 클라이언트의 요청은 서버 컴퓨터 WAS의 필터들을 통과한 뒤, 스프링 컨테이너 컨트롤러에 도달컨트롤러 앞단에 여러 과정이 존재하나, 시큐리티 과정에서는 중요치 않으므로 생략..만일 사용자의 요청을 감시하려면? = 시큐리티 의존성 추가스프링 시큐리티가 사용자의 요청을 감시 & 통제하는 지점은 `WAS의 필터`단.👉..

중간자 공격 (Man-in-the-Middle, MITM)중간자 공격은통신 중간에 공격자가 몰래 끼어들어 데이터를 엿보거나 조작하는 공격즉, A와 B가 통신한다고 생각했지만, 실제로는 `A-공격자-B` 사이에서 통신이 몰래 중계되고 있는 것예시: A가 B에게 로그인 요청A ──(로그인 정보)──▶ 🕵️ Eve(공격자) ──▶ BA ◀─(응답 위조)── 🕵️ Eve ◀── B공격자 Eve는 A의 로그인 정보를 가로채거나 조작 가능B은 아무 일도 모름. A도 B과 통신한다고 착각MITM이 가능한 조건 방법설명ARP 스푸핑내부 네트워크에서 공격자가 라우터인 척함DNS 스푸핑가짜 IP 주소로 유도 (ex. 진짜 google 대신 가짜 google 접속)HTTPS 우회공격자가 SSL Strip 등을 사용해 H..

이전글: 2025.06.24 - [Computer Science/네트워크] - HTTPS 통신 과정 HTTPS 통신 과정2025.05.13 - [Computer Science/네트워크] - HTTP 변천사 HTTP 변천사HTTP는 애플리케이션 계층에 존재하며, 웹 서비스 통신에 사용HTTP/1.0 부터 시작해 발전하여 현재는 HTTP/3이다.1. HTTP/1.0HTTP/1.0은 기본적으0woy.tistory.com전자 서명 (Digital Signature)전자 서명은 전자 문서의 무결성, 인증, 그리고 부인 방지를 보장하기 위한 기술임주로 공개키 암호 방식 (RSA, DSA, ECDSA 등)을 기반으로 하며, 암호화와 해시 함수가 결합되어 작동❓ 부인 방지 (Non-repudiation)부인 방지란 쉽..

2025.05.13 - [Computer Science/네트워크] - HTTP 변천사 HTTP 변천사HTTP는 애플리케이션 계층에 존재하며, 웹 서비스 통신에 사용HTTP/1.0 부터 시작해 발전하여 현재는 HTTP/3이다.1. HTTP/1.0HTTP/1.0은 기본적으로 한 연결당 하나의 요청을 처리하도록 설계👉 RTT 증가0woy.tistory.comHTTP에 관한 내용HTTPS (HyperText Transfer Protocol Secure Socket Layer)HTTP/2,3은 HTTPS 위에서 동작HTTPS는 애플리케이션 계층과 전송 계층 사이에 신뢰 계층인 `SSL/TLS` 계층을 넣은 신뢰할 수 있는 HTTPS 요청을 말함HTTPS는 소켓 통신에서 일반 텍스트를 이용하는 대신에, SSL이나..