JWT (JSON Web Token) 보안JWT는 웹 애플리케이션에서 정보를 안전하게 전송하기 위한 간결하고 자체 포함적인 방법주로 사용자 인증 및 인가(권한 부여)에 사용되며, 기존 세션 기반 인증 방식의 단점을 보완하지만 JWT 자체만으로 모든 보안이 해결되는 것은 아니며, 잘못 사용하면 여러 보안 취약점에 노출될 수 있음구조설명Header토큰의 타입(JWT)과 서명에 사용된 알고리즘(예: HS256, RS256)을 정의Payload클레임(Claim)이라고 불리는 실제 정보가 포함, 표준 클레임(iss, exp, sub 등), 공개 클레임, 비공개 클레임이 있습니다. 여기에 민감한 정보를 직접 넣는 것은 보안상 좋지 않음Signature인코딩된 헤더, 인코딩된 페이로드, 그리고 비밀 키(Secret ..

2025.07.01 - [Computer Science/보안] - OWASP Top 10, XSS, CSRF OWASP Top 10, XSS, CSRFOWASP (Open Worldwide Application Security Project)OWASP는 오픈소스 보안 프로젝트로, 보안 전문가들이 전 세계적으로 수집한 실데이터를 바탕으로 이 목록을 주기적으로 업데이트 함가장 최근 기준은 OWASP T0woy.tistory.com 보안 헤더 (Security Headers)보안 헤더는 웹 서버가 웹 브라우저로 응답을 보낼 때, HTTP 응답 헤더에 추가하여, 브라우저의 보안 기능을 강화하고 특정 유형의 공격을 완화하도록 지시하는 역할주요 보안 헤더:Strict-Transport-Security (HSTS)목..

OWASP (Open Worldwide Application Security Project)OWASP는 오픈소스 보안 프로젝트로, 보안 전문가들이 전 세계적으로 수집한 실데이터를 바탕으로 이 목록을 주기적으로 업데이트 함가장 최근 기준은 OWASP Top 10 – 2021OWASP Top 10은 웹 보안의 체크리스트개발자, 기획자, QA 등 모두가 의식적으로 확인해야 함각 항목은 실제 해킹 사례 기반보안 점검, 보안 코딩, 시스템 설계 시 필수 가이드라인각 항목은 위험도, 발생 빈도, 영향도 등을 종합해 순위를 매김 👇🏻 순위항목 코드취약점 이름설명1A01:2021Broken Access Control권한 없는 사용자가 데이터나 기능에 접근할 수 있는 문제2A02:2021Cryptographic F..

중간자 공격 (Man-in-the-Middle, MITM)중간자 공격은통신 중간에 공격자가 몰래 끼어들어 데이터를 엿보거나 조작하는 공격즉, A와 B가 통신한다고 생각했지만, 실제로는 `A-공격자-B` 사이에서 통신이 몰래 중계되고 있는 것예시: A가 B에게 로그인 요청A ──(로그인 정보)──▶ 🕵️ Eve(공격자) ──▶ BA ◀─(응답 위조)── 🕵️ Eve ◀── B공격자 Eve는 A의 로그인 정보를 가로채거나 조작 가능B은 아무 일도 모름. A도 B과 통신한다고 착각MITM이 가능한 조건 방법설명ARP 스푸핑내부 네트워크에서 공격자가 라우터인 척함DNS 스푸핑가짜 IP 주소로 유도 (ex. 진짜 google 대신 가짜 google 접속)HTTPS 우회공격자가 SSL Strip 등을 사용해 H..

이전글: 2025.06.24 - [Computer Science/네트워크] - HTTPS 통신 과정 HTTPS 통신 과정2025.05.13 - [Computer Science/네트워크] - HTTP 변천사 HTTP 변천사HTTP는 애플리케이션 계층에 존재하며, 웹 서비스 통신에 사용HTTP/1.0 부터 시작해 발전하여 현재는 HTTP/3이다.1. HTTP/1.0HTTP/1.0은 기본적으0woy.tistory.com전자 서명 (Digital Signature)전자 서명은 전자 문서의 무결성, 인증, 그리고 부인 방지를 보장하기 위한 기술임주로 공개키 암호 방식 (RSA, DSA, ECDSA 등)을 기반으로 하며, 암호화와 해시 함수가 결합되어 작동❓ 부인 방지 (Non-repudiation)부인 방지란 쉽..

2025.05.13 - [Computer Science/네트워크] - HTTP 변천사 HTTP 변천사HTTP는 애플리케이션 계층에 존재하며, 웹 서비스 통신에 사용HTTP/1.0 부터 시작해 발전하여 현재는 HTTP/3이다.1. HTTP/1.0HTTP/1.0은 기본적으로 한 연결당 하나의 요청을 처리하도록 설계👉 RTT 증가0woy.tistory.comHTTP에 관한 내용HTTPS (HyperText Transfer Protocol Secure Socket Layer)HTTP/2,3은 HTTPS 위에서 동작HTTPS는 애플리케이션 계층과 전송 계층 사이에 신뢰 계층인 `SSL/TLS` 계층을 넣은 신뢰할 수 있는 HTTPS 요청을 말함HTTPS는 소켓 통신에서 일반 텍스트를 이용하는 대신에, SSL이나..

CIA Triad정보 보안의 핵심 개념인 CIA Triad는 기밀성, 무결성, 가용성의 약자로 정보 보안에서 필수적으로 고려해야함이들 요소는 상호 보완적인 관계를 가지며, 하나라도 소홀히 여겨서는 안 됨다만, 어느 요소가 더 중요한지에 대해서는 상황에 따라 달라질 수 있음📌 기밀성이 중요한 조직에서는 기밀성을 최우선으로 고려하고, 그다음으로 무결성, 가용성을 중요시한다.반면, OT 환경(운영기술 환경)에서는 가용성이 최우선이며, 그다음으로 무결성과 기밀성을 고려하는 순서가 바뀔 수 있다.1) 기밀성 (Confidentiality)기밀성은 “허가받지 않은 자가 정보에 접근할 수 없도록 보호하는 것”을 의미개인의 은행 계좌 정보가 외부에 노출되지 않도록 보호해야 하는데, 이를 실현하기 위한 대표적인 방법은..

정적 페이지, 동적 페이지정적 페이지 (Static Page)서버에 저장된 `고정된 HTML 파일`을 그대로 클라이언트에 전달하는 페이지페이지 내용이 사용자나 상황에 따라 변하지 않음특징빠르고 가벼움서버 부하 少수정하려면 직접 HTML을 고쳐야 함예전 방식의 홈페이지 & 블로그 등에 사용예시about.html, contact.html, index.html 등정적인 기업 소개 페이지, 간단한 프로필 사이트파일 구성: `/index.html`, `/style.css`, `/script.js` 👉 클라이언트가 요청하면 그대로 응답동적 페이지 (Dynamic Page)클라이언트의 요청이나 상황에 따라 서버에서 실시간으로 생성되는 웹 페이지사용자마다 다른 내용을 보여줄 수 있음특징서버가 HTML을 실시간 Re..