# security

corner3499

💡 Tabnabbing이란 HTML 문서 내에 링크(target이 \_blank인 Anchor 태그)를 클릭 하게될 때 새로 열린 페이지(or 새탭)에서 기존의 문서의 위치를 피싱 사이트로 변경해 정보를 탈취(계정 탈취)하는 공격 기술입니다. 보통 메일이나 오픈 커뮤

jk05018

권한이 부여된 사용자들만 특정 기능 또는 데이터에 접근을 허용하는 기능이다. 인증된 사용자와 권한을 매핑 - (예: ROLE_USER, ROLE_ADMIN, ROLE_ANONYMOUS)보호되는 리소스에 대한 권한 확인 — (예: 관리자 권한을 가진 사용자만 관리자 페이

jk05018

응답 헤더에 보안 관련 헤더를 추가하는 기능을 제공한다.생성자에 보면 HeaderWriter가 5개 추가되어 있는데 그 HeaderWriter들의 역할은 다음과 같다.XContentTypeOptionsHeaderWriter 지정된 MIME 형식 이외의 다른 용도로 사용

stuartgreen

WordPress started as a platform for bloggers and later became the complete web solution for eCommerce sites, blogs, news, and enterprise-level softwar

jk05018

Tomcat과 같은 ServletContainer 위에서 전통적으로 사용해 오고 있는 병렬 처리 기법 중 하나Spring Web MVC도 결국 Tomcat과 같은 WAS에서 동작하기 떄문에 Thread Per Request 모델을 사용한다고 할 수 있다.HTTP 요청이

jk05018

우리가 로그인을 하지 않고 인증 영역에 접근하려 하면 로그인 페이지로 이동하였다가 로그인 후 다시 원래 요쳥했던 페이지로 돌아가는 경험을 해 보았을 것이다. 어떻게 이것이 가능했을까?RequestCacheAwareFilter가 이것을 가능하게 한다. 흐름을 보며 이해해

yeonnex

스프링 시큐리티와 OAuth2 적용 흐름도는 위와 같다.사용자가 애플리케이션에 접속하면, 해당 사용자에 대한 이전 로그인 정보(세션)의 유무를 체크한다.세션이 있으면 그대로 세션을 사용하고, 없으면 OAuth2 인증 과정을 거치게 된다.이메일을 키값으로 사용하여 이미

jk05018

보통 어플리케이션은 인증 영역과 인증되지 않은 영역(익명 영역)으로 이루어져 있다. 우리는 인증을 통해서 사용자를 검증해야 한다.사용자의 개인 민감 정보를 노출하지 않아야 됨시스템의 상태를 변경하거나 데이터를 관리할 수 있는 기능 제공 X적절한 권한이 부여된 사용자들만

yeonnex

본 포스트는 도서 처음 배우는 스프링 부트 2 의 5장 OAuth 인증 파트를 읽고 이해한 내용을 정리하였습니다.OAuth?OAuth 는 토큰을 사용하여 인증하는 표준 인증 프로토콜이다.OAuth2 는 OAuth 프로토콜의 버전 2이며, OAuth2에서 제공하는 승인타

yeonnex

인증 방식은 다양하다.사용자명(principle)과 비밀번호(credential)로 인증하는 “크리덴셜 기반 인증방식”OTP 와 같이 추가적인 인증 방식을 도입해 한번에 2가지 방법으로 인증하는 “이중 인증방식”소셜 미디어를 사용해 편리하게 인증하는 “OAuth2 인증

yeonnex

http.sessionManagement() // 세션 관리 기능이 작동함sessionCreationPolicy.Always : 스프링 시큐리티가 항상 세션 생성sessionCreationPolicy.If_Required : 기본값. 스프링 시큐리티가 필요시 생성ses

siontama

시작하기 Github 에서는 Security 탭에서 다양한 보안 기능들을 제공해준다 그 중 쉽고 편하게 사용할 수 있는 dependabot에 대해 소개한다

zihs0822

HTTPS와 HTTP의 차이는 암호화 프로토콜이 적용되있느냐의 유무다. HTTPS의 경우, 과거 SSL이 적용되고 있었으나, SSL의 취약점으로 인해 SSL 3.0 부터는 TLS가 SSL을 계승하여 사용된다. TLS의 개념 메모에 앞서 선행되는 개념들에 대한 정리가

seoyoung

자바를 이용해 RSA 암호체계를 프로그래밍해보았습니다

wansook0316

예전에 네트워크 처리를 하면서 맞닥들였던 문제를 다시한번 적어본다. 그리고 그 개념까지 간단하게 정리해본다.

sharosoo

lookup을 pk로 하면 보안이 위험할 수 있음sequential id를 hashing을 통해 암호화하는 것은 근본적으로 뚫린다.보안이 적용되지 않은 다른 object의 존재를 알고 공격대상으로 삼을 수 있다.XSS 공격에 취약함왜?slug로 설정하는 경우는 uniq

eedd22

토큰을 발행, 정보추출용으로 사용한다헤더, 페이로드, 시그니쳐로 이루어져 있다.configuration을 통해서 접근권한을 설정한다.UserDetailServiceImpl를 통해서 권한을 확인할 수 있도록 한다.security의 filter와 같은 느낌이다.user의

0xf4d3c0d3

평소 OAuth 2.0에서 궁금했던것들. Refresh token이 왜 필요한건지, Authorization code Grant flow에서 왜 굳이 Access token 대신 Authorization code를 중간에 거치는건지에 대한 고민 같은것들을 정리해봤다.

gengar

Spring Security에서의 JWT 기초

seoyoung

보안 공격 중 변조와 위조의 차이를 비유로 쉽게 살펴봅니다