web

CSRF [Cross-site request forgery, CSRF, XSRF] 사이트 간 요청 위조는 사용자의 의도와는 무관하게 공격자가 의도한 행위(수정, 삭제 , 등록)를 특정 웹사이트에 요청하게 하는 공격이다. 사용자가 웹사이트에 로그인과 같은 인증된 상태에서 사이트간 위조 요청 공격 코드가 삽입된 페이지를 열면 공격 대상이 되는 웹사이트는 위조된 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출된다. 웹사이트가 사용자의 브라우저를 신뢰할 경우 발생한다. CSRF토큰을 통한 보호 1. 서버가 뷰 랜더링 시 form태그에 hidden처리된 _csrf필드를 넣어준다. // 로그인시, 또는 작업화면 요청시 CSRF 토큰을 생성하여 세션에 저장한다. session.setAttr..

지난 글에서 HTTP의 발전 과정에 대해 설명했다. HTTP의 구조와 버전 차이점에 대해 적었는데 오늘은 HTTPS에 대해서 정리하겠다. HTTPS란? HTTPS는 Hypertext Transfer Protocol Secure의 약자로 HTTP프로토콜의 보안버전이다. HTTP통신에서 html같은 단순 텍스트를 주고 받을 때를 생각해보자. 계좌번호나 비밀번호와 같은 중요한 데이터들이 네트워크상에서 노출된다면 큰 문제가 발생할 수 있다. HTTPS는 데이터를 암호화 시켜서 보안상의 문제를 해결하여 데이터를 안전하게 주고받을 수 있다. HTTP에 데이터 암호화가 추가된 프로토콜이라고 이해하자. 암호화 대칭키 암호화에 쓰이는 키와 복호화에 쓰이는 키가 동일하다. 간편하고 비용이 적다는 장점이 있지만 하나의 키로..

HTTP 의미 먼저 사전적 의미의 HTTP란, HTTP(HyperText Transfer Protocol)는 클라이언트와 서버 사이에 이루어지는 요청/응답(request/response) 프로토콜이다. 예를 들면, 클라이언트인 웹 브라우저가 HTTP를 통하여 서버로부터 웹페이지(HTML)나 그림 정보를 요청하면, 서버는 이 요청에 응답하여 필요한 정보를 해당 사용자에게 전달하게 된다. 이 정보가 모니터와 같은 출력 장치를 통해 사용자에게 나타나는 것이다. HTTP를 통해 전달되는 자료는 http:로 시작하는 URL(인터넷 주소)로 조회할 수 있다. 한마디로 월드와이드웹(www) 안에서 html과 같은 문서를 약속한 형식으로 통신하자고 만든 구조가 http인것이다. 이러한 http의 진화 과정을 살펴보자...