해킹과 보안/보안 관련: 4개의 글
REST API 사용을 위한 인증 방법 4가지Stateless 한 REST API 를 사용하기 위해서는 4가지의 인증방법이 있다. Basic Authentication, Token Authentication, API Key & Secret Authentication, OAuth2.0(Open Authorization) 이 그것이다. 1. Basic AuthenticationHTTP 표준 사양에 따라 매 요청시 헤더의 Authorization 필드에 아이디와 패스워드를 넘겨주는 방식으로 사용자를 인증하는 방식이다.이 방식은 보안상 매우 취약하고 탈취가 쉽다.특히 SAP 방식에서는 자바스크립트 코드가 그대로 드러나기 때문에 더 위험하다. 2. API Token Based Authentication 프로세스A..
Intercept Server Responses에서 디폴트는 체크안되어 있는데 체크하고,ajax와 같은 response를 확인하려면 Was intercepted 를 체크해야 intercept 할 수 있다.
버프슈트를 이용해서 현재 요청을 가로채서 매개변수를 변경하여 봅니다. 이것은 화면에서 자바스크립트등으로 입력값의 길이를 제한해 두었다던가, 숫자등으로 입력값의 타입을 제한 하는등의 노력을 무력화 시킬 수 있습니다. 실제로 코딩에서는 서버측에서도 동일한 체크를 반드시 수행해야만 합니다. "스프링 프레임웍에서 MyBatis, Oracle 사용하기" 에서 사용한 샘플에 테스트 데이터를 추가하고, 글번호를 파라미터로 넘겨서 글 내용을 보는 페이지는 추가하여 테스트 해 봅니다. 보안관련 테스트를 허가받지 않은 사이트에 하면 절대 안됩니다. 1. 샘플 데이터를 입력합니다. sqldeveloper 에서 입력 쿼리를 작성하고, 스크립트 실행 버튼(단축키 F5)을 눌러 실행합니다. sqldeveloper 는 기본적으로 ..
이제 웹프로그래밍에서 Secure Coding 은 필수가 되었습니다. 설계 단계에서부터 보안설계가 들어가고, 그에 따라 코딩 시작부터 보안을 고려해서 코딩을 하게 됩니다. 하지만 늘어나는 공수에 대한 산정은 이런 추세를 아직 따라가고 있지를 못하는것 같아서 안타깝습니다. Burp suite 는 웹 프록시 입니다. 웹브라우저만으로는 통신간의 정보를 상세히 보기가 힘든데, 프록시를 사용하면 클라이언트의 요청정보, 서버의 응답정보를 상세히 확인할 수 있습니다. 또한 서버로 전송되는 정보를 변경하여 취약점 분석에 사용할 수 있습니다. Burp suite 를 설치하기 위해서는 먼저 JRE 가 설치되어 있어야 합니다. 설치되어 있지 않다면 "윈도우에 JDK 8 설치하기" 를 참고하여 설치를 합니다. Burp sui..