# security

170개의 포스트
post-thumbnail

Tabnabbing 공격과 HTML rel=noopener 속성에 관하여

💡 Tabnabbing이란 HTML 문서 내에 링크(target이 \_blank인 Anchor 태그)를 클릭 하게될 때 새로 열린 페이지(or 새탭)에서 기존의 문서의 위치를 피싱 사이트로 변경해 정보를 탈취(계정 탈취)하는 공격 기술입니다. 보통 메일이나 오픈 커뮤

2일 전
·
0개의 댓글

22.05.20 WIL 인가 처리 & Spring Security 인증 이벤트

권한이 부여된 사용자들만 특정 기능 또는 데이터에 접근을 허용하는 기능이다. 인증된 사용자와 권한을 매핑 - (예: ROLE_USER, ROLE_ADMIN, ROLE_ANONYMOUS)보호되는 리소스에 대한 권한 확인 — (예: 관리자 권한을 가진 사용자만 관리자 페이

4일 전
·
0개의 댓글

22.05.19 Spring Security Filter들(2)

응답 헤더에 보안 관련 헤더를 추가하는 기능을 제공한다.생성자에 보면 HeaderWriter가 5개 추가되어 있는데 그 HeaderWriter들의 역할은 다음과 같다.XContentTypeOptionsHeaderWriter 지정된 MIME 형식 이외의 다른 용도로 사용

4일 전
·
0개의 댓글
post-thumbnail

Most Common WordPress Vulnerabilities & Their Fixes

WordPress started as a platform for bloggers and later became the complete web solution for eCommerce sites, blogs, news, and enterprise-level softwar

5일 전
·
0개의 댓글

22.05.18 WIL SecurityContextHolder, SecurityContext, Authentication

Tomcat과 같은 ServletContainer 위에서 전통적으로 사용해 오고 있는 병렬 처리 기법 중 하나Spring Web MVC도 결국 Tomcat과 같은 WAS에서 동작하기 떄문에 Thread Per Request 모델을 사용한다고 할 수 있다.HTTP 요청이

5일 전
·
0개의 댓글

22.05.17 WIL Spring Security Filter들(1)

우리가 로그인을 하지 않고 인증 영역에 접근하려 하면 로그인 페이지로 이동하였다가 로그인 후 다시 원래 요쳥했던 페이지로 돌아가는 경험을 해 보았을 것이다. 어떻게 이것이 가능했을까?RequestCacheAwareFilter가 이것을 가능하게 한다. 흐름을 보며 이해해

5일 전
·
0개의 댓글
post-thumbnail

spring boot security + oauth2 설계하기

스프링 시큐리티와 OAuth2 적용 흐름도는 위와 같다.사용자가 애플리케이션에 접속하면, 해당 사용자에 대한 이전 로그인 정보(세션)의 유무를 체크한다.세션이 있으면 그대로 세션을 사용하고, 없으면 OAuth2 인증 과정을 거치게 된다.이메일을 키값으로 사용하여 이미

6일 전
·
0개의 댓글
post-thumbnail

22.05.16 WIL Spring Security 기초 & 사용자 등록

보통 어플리케이션은 인증 영역과 인증되지 않은 영역(익명 영역)으로 이루어져 있다. 우리는 인증을 통해서 사용자를 검증해야 한다.사용자의 개인 민감 정보를 노출하지 않아야 됨시스템의 상태를 변경하거나 데이터를 관리할 수 있는 기능 제공 X적절한 권한이 부여된 사용자들만

7일 전
·
0개의 댓글
post-thumbnail

OAuth2 인증

본 포스트는 도서 처음 배우는 스프링 부트 2 의 5장 OAuth 인증 파트를 읽고 이해한 내용을 정리하였습니다.OAuth?OAuth 는 토큰을 사용하여 인증하는 표준 인증 프로토콜이다.OAuth2 는 OAuth 프로토콜의 버전 2이며, OAuth2에서 제공하는 승인타

7일 전
·
0개의 댓글

인증 방식 종류

인증 방식은 다양하다.사용자명(principle)과 비밀번호(credential)로 인증하는 “크리덴셜 기반 인증방식”OTP 와 같이 추가적인 인증 방식을 도입해 한번에 2가지 방법으로 인증하는 “이중 인증방식”소셜 미디어를 사용해 편리하게 인증하는 “OAuth2 인증

7일 전
·
0개의 댓글

세션 정책

http.sessionManagement() // 세션 관리 기능이 작동함sessionCreationPolicy.Always : 스프링 시큐리티가 항상 세션 생성sessionCreationPolicy.If_Required : 기본값. 스프링 시큐리티가 필요시 생성ses

2022년 5월 17일
·
0개의 댓글
post-thumbnail

dependabot으로 종속성 취약점 관리하기

시작하기 Github 에서는 Security 탭에서 다양한 보안 기능들을 제공해준다 그 중 쉽고 편하게 사용할 수 있는 dependabot에 대해 소개한다

2022년 5월 10일
·
0개의 댓글
post-thumbnail

HTTPS와 TLS의 개념

HTTPS와 HTTP의 차이는 암호화 프로토콜이 적용되있느냐의 유무다. HTTPS의 경우, 과거 SSL이 적용되고 있었으나, SSL의 취약점으로 인해 SSL 3.0 부터는 TLS가 SSL을 계승하여 사용된다. TLS의 개념 메모에 앞서 선행되는 개념들에 대한 정리가

2022년 5월 6일
·
0개의 댓글
post-thumbnail

자바로 RSA 공개키 암호 시스템을 프로그래밍해보기

자바를 이용해 RSA 암호체계를 프로그래밍해보았습니다

2022년 5월 3일
·
0개의 댓글
post-thumbnail

App Transport Security

예전에 네트워크 처리를 하면서 맞닥들였던 문제를 다시한번 적어본다. 그리고 그 개념까지 간단하게 정리해본다.

2022년 5월 3일
·
0개의 댓글

UUID Field

lookup을 pk로 하면 보안이 위험할 수 있음sequential id를 hashing을 통해 암호화하는 것은 근본적으로 뚫린다.보안이 적용되지 않은 다른 object의 존재를 알고 공격대상으로 삼을 수 있다.XSS 공격에 취약함왜?slug로 설정하는 경우는 uniq

2022년 4월 28일
·
0개의 댓글

jwt, security, user

토큰을 발행, 정보추출용으로 사용한다헤더, 페이로드, 시그니쳐로 이루어져 있다.configuration을 통해서 접근권한을 설정한다.UserDetailServiceImpl를 통해서 권한을 확인할 수 있도록 한다.security의 filter와 같은 느낌이다.user의

2022년 4월 21일
·
0개의 댓글
post-thumbnail

OAuth 2.0 / Refresh token, Authorization code

평소 OAuth 2.0에서 궁금했던것들. Refresh token이 왜 필요한건지, Authorization code Grant flow에서 왜 굳이 Access token 대신 Authorization code를 중간에 거치는건지에 대한 고민 같은것들을 정리해봤다.

2022년 4월 20일
·
0개의 댓글
post-thumbnail

[Spring] Spring Security - JWT

Spring Security에서의 JWT 기초

2022년 4월 15일
·
0개의 댓글
post-thumbnail

쉽게 이해하는 변조와 위조의 차이

보안 공격 중 변조와 위조의 차이를 비유로 쉽게 살펴봅니다

2022년 4월 14일
·
0개의 댓글