부족함을 인정하는 순간 부족함을 인정하는 순간

쿠키(Cookie)를 간단하게 정의하면 클라이언트 개개인의 상태 정보를 담고 있는 데이터이다. 쿠키에 있는 정보를 해킹 당하게 된다면 자신의 개인 정보를 도난당하는 것이기 때문에 심각한 피해를 입을 수 있다. 이런 중요한 정보를 보호하기 위해서 어떤 보안 설정 방법이 있는지 알아보자. 1. HttpOnly 서버에서는 Set-Cookie 응답 헤더를 이용하여 쿠키를 설정하는데, 이 설정을 Set-Cookie에 추가하게 되면 클라이언트의 환경(웹 브라우저)에서 스크립트(Java 등)로 쿠키에 접근하는 것을 차단할 수 있다. 이 설정을 함으로써 XSS(Cross Site Script)공격에 대응이 가능하다. 2. Secure 이 설정 역시 Set-Cookie 응답 헤더에서 설정한다. 클라이언트의 환경(웹 브라..

CSRF 공격(Cross Site Request Forgery)은 웹 어플리케이션 취약점 중 하나로 인터넷 사용자(희생자)가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 만드는 공격입니다. CSRF를 통해 해커는 희생자의 권한을 도용하여 중요 기능을 실행하는 것이 가능합니다. 예를들어, 페이스북에 희생자의 계정으로 광고성 글을 올리는 것이 가능해 집니다. (물론 페이스북은 CSRF 공격에 대해 잘 대응을 하였겠지만, 이번 글에서 피해 서비스 = 페이스북으로 설명하겠습니다.) 조금 더 설명하자면, CSRF는 해커가 사용자의 컴퓨터를 감염시키거나 페이스북 서버를 해킹을 해서 이뤄지는 공격은 아닙니다. 그래서 CSRF 공격이 이뤄지려면 다음 조건이 만족되어..

회사에서 내가 만든 웹 서버와 IPS 사이의 통신 패킷을 분석해야 하는 상황이 있었다. 웹 서버가 Linux에서 동작하므로 Fiddler 대신 tcpdump로 패킷을 잡고 그걸 wireshark로 보는 방법을 택했다. tcpdump로 잡은 패킷을 내 host PC로 옮긴 뒤 wireshark로 SSL key를 설정한 뒤 패킷을 보려했는데.. 뭘 잘못한거지? 복호화가 되질 않는다. key를 잘못 설정한건가? 삽질 ing.. 암호화 되지않은 SSL Handshaking 패킷을 보던 중 Server가 선택한 암호화 알고리즘이 평소 보지 못한걸 깨달았다. ECDHE?? 이게 무슨 알고리즘이지 검색 ㄱㄱ싱 ECDHE(Elliptic Curve Diffie-Hellman Exchange — 타원곡선 디피헬만 키교환..