robinjoon의 개발이야기

과거, 동아리 홈페이지를 만들던 시절에 커뮤니티 기능을 위해선 각 동아리 회원별로 할 수 있는 기능이 제한되므로 별도로 인증을 해야 했고, 자연스럽게 세션에 회원의 id 와 회원등급을 저장해 인증을 수행했다. 당시에 동아리 홈페이지 자체가 사용이 많지도 않았고, 거의 개인 프로젝트정도로 이런 걸 만들어봤다 정도여서 별 고민은 없었는데, REST API 에 대한 공부를 하면서 다음과 같은 의문을 가졌다. REST API 는 stateless 이기 때문에 클라이언트의 상태정보를 저장하지 않는데, 사용자 인증을 위해 session을 사용하면 REST API 가 의미가 없는 것 아닌가? 그렇게 정보를 찾은 결과, REST API 는 세션이 아니라 토큰을 이용해 인증작업을 수행한다는 것을 알았다. 두 방식의 차이..

아래 글에서 이어지는 내용입니다. 2021/01/05 - [Security] - 업데이트 배포서버가 해킹된다면? - 1편 업데이트 배포서버가 해킹된다면? - 1편 개요 우리는, 여러 프로그램을 자동으로 업데이트되게 설정해놓고 사용하고 있다. 이런 프로그램은 기본적으로, 우리가 컴퓨터를 키면, 업데이트를 확인하며, 업데이트가 있으면 자동으로 서버 robinjoon98.tistory.com 위 글에서, 해커가 개인이 직접 공개키, 비밀키를 만들어 코드사인을 한 경우, 변조 탐지과정을 우회할 수 있었다. 당연히, 이를 막기 위한 장치가 존재한다. 바로, 공인인증서다. 공인인증서 공인 인증서에는 여러가지 정보가 포함되어있는데, 그중에서 가장 중요한 주체, 주체의 공개키, 발급자, 발급자의 서명이다. 주체란, 당..

개요 우리는, 여러 프로그램을 자동으로 업데이트되게 설정해놓고 사용하고 있다. 이런 프로그램은 기본적으로, 우리가 컴퓨터를 키면, 업데이트를 확인하며, 업데이트가 있으면 자동으로 서버로부터 다운받아 업데이트를 설치한다. 이걸 그림으로 나타낸 것이 바로 위의 그림이다. 아주 암울한 상황을 상상해보자. 악의적인 마음을 품은 해커가 프로그램의 업데이트 배포서버를 해킹했다고 가정하자. 해커가 배포서버의 정상적인 파일을 변조된 파일로 바꿔치기 하면, 각 사용자의 PC는 배포서버에 새로운 업데이트가 배포되었다고 판단하고, 이를 다운받아 PC에 설치할 것이다. 이렇게 되면, 수많은 사용자의 PC가 해커의 손에 들어오게 된다. 당연히, 모든 자동업데이트를 지원하는 서비스는 이런 경우를 방지하기 위해, 배포서버로부터 다..

보호되어 있는 글입니다.

1.XSS (Cross Site Scripting) XSS는 Cross Site Scripting의 약자로 웹페이지 어딘가에 악성 자바스크립트를 삽입하여 사용자의 정보를 가로채거나, 사이트의 정상적인 이용을 방해하는 공격이다. 원리는 매우 간단하지만, 한번 성공했을 때의 파급력은 경우에 따라 웹페이지 전체를 장악할 수 있을 정도로 강력하다. 방식에 따라 stored와 reflected로 나뉘어진다. 1. stored xss 위 그림처럼 어떤 사용자가 정상적인 게시물에 라고 댓글을 달았다고 하자. 이 댓글이 달린 이후에 게시물을 조회할 경우 자연스럽게 댓글도 같이 불러와 화면에 출력해줄 것이다. 브라우저가 라는 댓글을 만나면 당연히 이를 자바스크립트 코드로 해석하여 화면에 경고창을 띄워주게 될 것이다. 여..