개발 메모장

문자 인증 및 암호 인증 등을 통해 민감 정보를 수정 및 조회하는 경우가 많을 것 입니다.잘못된 접근 제어 방식으로 인하여 인증 우회 및 공격을 받기도 합니다.잘못된 방식에 대해서 살펴보고 어떻게 처리해야하는지도 알아보도록 하겠습니다.#. 현 상황 입력받은 PW 및 데이터를 Ajax를 통해 서버단으로 보낸 뒤 유효성 검사를 하고 통과가 되면 check라는 Key에 Y라는 값을 넣어 modelMap을 통해 리턴합니다. 통과되지 못할 경우 N을 넣어 리턴합니다.ajax의 success 옵션에서 리턴 받은 데이터의 check라는 키의 값이 Y이면 성공처리 후 팝업을 열고, 아니면 실패처리를 하는 방식으로 되어있습니다.@RequestMapping("/PwCheck.do")public ModelMap pwChec..

입사 초기 내부 업무 확인용으로 만든 웹페이지를 오랜만에 들어가 보니 폰트 및 CSS 전반이 틀어져 버린 현상을 발견했습니다.배포를 하면서 뭘 잘못 건드린 것인가 하여 히스토리에서 확인 및 백업파일을 재배포도 해보았으나 정상적인 것이 없었습니다.분명 최근까지도 잘 됐었는데 이상하게 안 되어 확인해 보니 외부 CDN을 가져와 link 처리하고 있어 해당 URL을 주소창에 입력해 보니 에러가 발생했습니다.SSL 인증서 만료로 인한 오류로 앞으로도 이렇게 의존하면 같은 일이 반복될 수 있겠다 생각되어 파일 다운로드를 통해 프로젝트에 종속시켜 처리했습니다.#. 기존 사용하던 CDN URL아래와 같이 cdn.jsdelivr.net을 사용하고 있었습니다.#. 동일한 부트스트랩 css를 다른 URL에서 가져오기해당 ..

개인정보가 포함된 서비스의 소스에 DB접근 정보가 평문화 되어있어 암호화를 해야 했습니다.검색하여 찾아본 결과 모든 내용이 Jasypt라는 라이브러리를 이용해 처리하고 있음을 확인하고 적용했습니다.Spring-boot로 새로 만들어 처리할 때에는 아주 쉽게 처리가 가능했으나 해당 서비스는 기존에 설정된 것들이 복잡하게 얽혀있어 처리에 애를 먹었습니다.적용하는 과정에서의 방법에 대해 공유하고자 합니다.#. Jasypt의 특징 암호화 및 복호화- 비밀번호, DB 연결 정보 및 기타 기밀 정보와 같은 민감한 데이터를 암호화하고 복호화가 가능합니다.다양한 암호화 알고리즘 지원- AES, DES, Triple DES, PBE 등을 포함한 다양한 암호화 알고리즘을 지원합니다. - 개발자는 보안 ..

#. Replay Attack 이란?공격자가 이전에 기록된 쿠키 및 세션 정보를 가로채서 악의적으로 재전송하는 네트워크 공격의 한 형태입니다.재생 공격의 목표는 유효한 데이터나 명령이 합법적이고 새로 생성된 것처럼 하여 시스템을 속이며 이러한 유형의 공격은 일부 시스템이 동일한 데이터의 반복 또는 중복 전송으로부터 적절하게 보호하지 못한다는 사실을 이용합니다.사용자의 쿠키 및 세션 인증 정보를 재사용하여 웹 서비스를 별도의 로그인 없이 이용이 가능한 것을 의미합니다.즉, 로그인한 사용자 정보를 쿠키 또는 세션 방식으로 저장하여 인증 확인 시 사용하는데 악성 사용자가 임의의 사용자의 쿠키 및 세션 정보를 가로채 로그인 인증을 우회할 수 있게 됩니다.#. 대응 방안 사용자 인증 및 권한을..