개발 메모장

문자 인증 및 암호 인증 등을 통해 민감 정보를 수정 및 조회하는 경우가 많을 것 입니다.잘못된 접근 제어 방식으로 인하여 인증 우회 및 공격을 받기도 합니다.잘못된 방식에 대해서 살펴보고 어떻게 처리해야하는지도 알아보도록 하겠습니다.#. 현 상황 입력받은 PW 및 데이터를 Ajax를 통해 서버단으로 보낸 뒤 유효성 검사를 하고 통과가 되면 check라는 Key에 Y라는 값을 넣어 modelMap을 통해 리턴합니다. 통과되지 못할 경우 N을 넣어 리턴합니다.ajax의 success 옵션에서 리턴 받은 데이터의 check라는 키의 값이 Y이면 성공처리 후 팝업을 열고, 아니면 실패처리를 하는 방식으로 되어있습니다.@RequestMapping("/PwCheck.do")public ModelMap pwChec..

#. 민감 데이터인 개인정보는 웹에서 보이지 않도록 반드시 마스킹 처리를 하여 정보를 보호해야 합니다.#. 이러한 개인정보는 웹 곳곳에서 사용되므로 하나하나 처리하기보단 function으로 처리하는 편이 관리하기 편합니다.#. 따라서 MSSQL에서 마스킹 function을 만들어 보고자 합니다.#. 마스킹 처리 기준 - 이는 명확한 기준이 없기에 처리하는 담당자마다 다르게 처리할 수 있습니다. - 관계된 법령이 있는지 확실치 않습니다. 있다면 알려주시길 부탁드립니다! 이름이 2자인 경우 마지막 글자를, 3자인 경우 가운데를, 4자 이상인 경우 처음과 끝 1자리를 제외한 나머지를 마스킹합니다.전화번호의 경우 가운데 3~4자리를 마스킹합니다.주소의 경우 상세주소를 마스킹합니다.주민번호는 뒷자리를 ..

#. Replay Attack 이란?공격자가 이전에 기록된 쿠키 및 세션 정보를 가로채서 악의적으로 재전송하는 네트워크 공격의 한 형태입니다.재생 공격의 목표는 유효한 데이터나 명령이 합법적이고 새로 생성된 것처럼 하여 시스템을 속이며 이러한 유형의 공격은 일부 시스템이 동일한 데이터의 반복 또는 중복 전송으로부터 적절하게 보호하지 못한다는 사실을 이용합니다.사용자의 쿠키 및 세션 인증 정보를 재사용하여 웹 서비스를 별도의 로그인 없이 이용이 가능한 것을 의미합니다.즉, 로그인한 사용자 정보를 쿠키 또는 세션 방식으로 저장하여 인증 확인 시 사용하는데 악성 사용자가 임의의 사용자의 쿠키 및 세션 정보를 가로채 로그인 인증을 우회할 수 있게 됩니다.#. 대응 방안 사용자 인증 및 권한을..

#. 기술의 발전에 따라 시스템을 보호하는 방식이 다양해졌고, 보호해야 하는 민감 정보들에 대한 취급 및 처리하는 경우도 많아졌을 것입니다. #. 하지만 이에 따라 악용과 공격에 대한 기술도 발전했을 것입니다. #. 더군다나 이전에 만들어진 시스템의 경우 발전된 기술로 공격 또는 악용할 것이며, 이들을 대응하려면 시스템에 지속적인 보안 처리를 해줘야 하나 실상은 그렇지 못한 경우가 많을 것입니다. #. 행안부에 의해 제정된 법규와 그 기준을 간단하게나마 살펴보도록 하겠습니다. 시큐어 코딩이란??- 해킹, 사이버 공격의 원인이 될 수 있는 보안상 취약점들을 찾아 제거해 사용자와 개발자 모두 안전한 소프트웨어를 개발할 수 있게 하는 소프트웨어 개발 기법 또는 지침, 원칙이라 할 수 있습니다..