OWASP Top10OWASP Top 10은 개발자가 설계하고 배포하는 애플리케이션의 보안을 강화할 수 있도록 가장 중요한 애플리케이션 보안 위험을 나열하는 업계 표준 가이드라인 https://www.opentext.com/ko-kr/what-is/owasp-top-10 OWASP Top 10이란 무엇인가요? | OpenText보안 테스트, 취약성 관리, 맞춤형 전문 지식 및 지원을 활용하세요.www.opentext.com  IDOR(Insecure Direct Object References)유저가 제공하는 인풋이 객체에 직접적으로 접근하는 것을 악용해서 공격자가 자신의 권한을 초과하는 동작을 하는 행위.Horizontal Privilege Escalation는 공격자가 동일한 수준의 권한을 가진 다른..

인증 Authentication사용자가 본인이 주장하는 사람이 맞는지 확인하는 신원 증명과정사용자 이름과 패스워드의 조합이나 생체정보 등으로 신원확인 방식이 사용해서 권한을 가진 사용자만 시스템에 접근하도록 함.    세션관리에서 중요한 개념이 쿠키와 세션이 있는데 웹사이트에서 신원확인, 사용자 행동 추적에 사용(쿠키: 웹서버와 브라우저를 통해 사용자의 컴퓨터에 저장되는 텍스트파일로 사용자 식별 기능세션: 서버 측에 저장되는 사용자 정보로 브라우저에 저장되어 서버가 사용자의 세션 데이터 조회)사용자의 중요 정보는 서버에, 세션 아이디만 클라이언트 측에 저장된다면 면에서 쿠키보다 안전하고 우수  인가 Authorization 해당 사용자가 어떤 리소스나 서비스에 접근 권한이 있는지 확인, 작업 범위를 확인..

HTTP 응답코드 HTTP 응답코드를 통해 클라이언트의 요청이 서버에서 처리된 결과, 그리고 통신 상태를 이해할 수 있다200~OK, 클라이언트 요청이 성공적으로 처리됨300~클라이언트 요청 처리를 위해 더 많은 동작이 필요하다는 리다이렉션 상태, 예를 들어 302 Found는 리소스가 다른 위치에 있어 리디렉트 함400~클라이언트 요청에 문제가 있음(요청 형식, 인증 실패, 권한 부족) 400 Bad Request, 401 Unauthorize 인증 없음, 403 Forbidden 접근 권한 없음, 404 Not Found 요청한 리소스 없음500~서버에서 요청 처리하는데 문제 발생. 505 internal server error, 503 service unavailable 인증이 필요하지 않은 요청에..

사용자가 브라우저를 통해 요청을 보내면 서버로 전송된다. 이때 서버의 종류는 온프레미스/IDC센터/클라우드 등 다양 서버의 구성요소 클라이언트로부터 가장 먼저 요청을 받는 웹 서버가 있다. NGINX의 역할은 들어온 요청을 적절한 위치로 라우팅 하는 것.예를 들어 css, 이미지 파일같은 정적 콘텐츠를 요청하면 NGINX는 이를 찾아 바로 반환함.하지만 동적 컨텐츠를 요구할 때는 요청을 서버로 전달하는데 이때 Tomcat, django, Node.js 같은 프레임워크들이 사용들어온 요청을 처리하기 위해 필요한 데이터를 DB에서 찾거나 저장하는 등 접근을 한다. 처리가 완료되면 처리결과를 NGINX에 전달하고 NGINX는 클라이언트에게 결과 반환함. GET 요청클라이언트가 리소스를 요청할때 사용되는 h..

클라이언트-서버 모델:사용자가 웹 브라우저(클라이언트)를 통해 서버에 요청을 보내면, 서버는 해당 요청을 처리한 후 그 결과를 클라이언트에 응답한다. 클라이언트 측은 사용자가 상호작용하는 프론트엔드에 해당하며, 서버와의 통신을 통해 웹 페이지를 구성하거나 데이터를 받는다. 서버는 데이터베이스나 비즈니스 로직을 포함하고 백엔드에 해당함. 클라이언트가 요청한 데이터를 처리하거나 반환하는 역할을 한다. HTTP 메소드자주 등장하는 HTTP 메소드들을 소개해보자면GET: 서버에서 데이터를 요청함POST: 서버에 데이터를 전송하는 메소드로 업로드나 제출에 사용됨PUT: 서버에 이미 있는 데이터 업데이트DELETE: 데이터 삭제  프론트엔드와 백엔드 프론트엔드: 프론트엔드는 사용자가 상호작용하는 웹 페이지의 사용자..

취약점 리스크 정량화의 필요성 해당 취약점이 시스템에 어느 정도의 위험을 초래할 수 있는지 수치화해서 나타냄으로써 조치해야 할 우선순위를 정하고 효과적으로 관리할 수 있도록 함.정량화에서 고려해야 하는 요소는 공격의 복잡성/범위, 취약점 유형, 영향 범위 등이 있다  취약점 리스크 정량화 모델 CVSS (Common Vulnerability Scoring System): 각 취약점의 공격 복잡성, 범위, 영향 등DREAD (Damage, Reproducibility, Exploitability, Affected Users, Discoverability): 취약점의 해로움과 재현 가능성, 영향성, 발견되기 쉬운지 정도 등OWASP Risk Rating Methodology이중 CVSS에는 여러 년도에 발표..