반응형 ETC/Security3 [web] 동일 출처 정책과 CORS의 존재 이유 동일 출처 정책이란 동일 출처 정책(Same Origin Policy)은 어떤 출처에서 불러온 문서나 스크립트가 다른 출처에서 가져온 리소스와 상호작용 하는것을 제한하는 보안정책이다. XmlHTTPRequest로 다른 서버에 접근할 때 발생하는데, 실제 사례에는 보통 Javascript를 통한 AJAX통신과정에서 보통 발생한다. 이 때 출처는 오리진이라는 개념으로 구분하는데, 쉽게 말하자면 오리진 = 프로토콜 + 도메인 + 포트번호 라고 이해할 수 있다. 즉, 같은 프로토콜, 도메인, 포트번호를 가져야 클라이언트와 서버가 원활하게 통신할 수 있는 것이다. 동일 출처 정책이 왜 필요한가? 기본적으로 자바 스크립트는 자신이 실행된 문서의 서버의 내용만 읽을 수 있다. 만약 다른 서버의 내용까지 읽을 수 있게.. 2020. 5. 28. [웹 보안] SQL Injection 웹 보안 카테고리 안에 포스팅을 했지만, sql injection은 데이터베이스와 연동되는 모델이라면 언제나 발생할 수 있는 문제이다. 간단하게 결론부터 말하자면 SQL injection은 DB에접근할 때 사용자가 입력하는 값이 쿼리문에 포함될 때 악의적으로 입력값을 설정해서 쿼리문을 조작해, 비정상적으로 DB를 동작시키는 해킹 방법이다. 여기서 우리는 SQL injection의 두가지 전제조건을 발견할 수 있다. 1. 데이터베이스가 존재하고, 모델과 연동되어야한다. ( 당연하다. 애초에 쿼리문을 조작하는 해킹방법인데 DB가 없다면 모순) 2. 사용자의 입력 값이 쿼리문에 포함되어야 한다. 유감스럽게도, 대부분의 웹 어플리케이션은 위 두 조건을 만족한다. 로그인 기능 하나만으로도 위 두 조건은 충족시킬 .. 2020. 2. 24. [암호화 해시] 1. 암호화 해시 함수의 특성과 성질 암호화 해시 함수 해시는 입력값을 변조해서 특정 해시 값을 만들고, 그 해시 값을 이용해 데이터를 저장하는 자료구조이다. 이 때, 변조하는 함수에 몇 가지 특성을 추가해서 암호화에 사용할 수 있게 한 해시 함수를 암호화 해시 함수라고 한다. 암호화 해시 함수의 성질 암호화 해시 함수는 크게 3가지 성질이 있다. 1. 제 1 역상 저항성 해시 값을 통해서 입력 값을 찾기 어렵다. 2. 제 2 역상 저항성 특정 입력 값과 같은 해시 값을 반환하는 또 다른 입력 값을 찾기 어렵다. 3. 충돌 저항성 같은 해시 값을 반환하는 2개의 입력 값의 쌍을 찾기 힘들다. 여기서 2번과 3번은 비슷한 내용같지만 매우 다르다. 제 2 역상 저항성은 1개의 입력 값을 이미 알고 있는 상태에서 그 입력 값과 같은 해시 값을 반.. 2020. 2. 11. 이전 1 다음 반응형
