Project(9)
-
XSS?
XSS(Cross Site Scripting) 악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법으로 XSS를 통해 사용자의 쿠키나 세션등의 민감한 정보를 탈취할 수 있다. Stored XSS 악의적인 사용자가 어떤 사이트에서 게시글을 작성할 때, 해당 게시글을 조회한 회원의 쿠키 정보를 탈취하는 악성 스크립트를 작성해서 저장했다고 가정하자. 이후, 사용자가, 악성 스크립트가 저장되어있는 게시글을 클릭하면, 게시글이 열리면서 스크립트 코드가 실행이 될 것이다. 이렇게 되면, 스크립트 코드를 통해서 사용자의 쿠키정보를 악의적인 사용자한테 전달할 것이다. 악의적인 사용자는 해당 쿠키를 통해서 서버의 사용자인척하여 악의적인 행동을 할 것이다. 만약 탈취한 쿠키가 관리자 회원의 쿠키였다면, 더욱 심각한 ..
2024.01.24 -
cookie, session, jwt
cookie 쿠키를 이용해서 서버는 우리의 브라우저에 데이터를 넣을 수 있다. - 데이터를 넣는 이유는, 클라이언트의 정보를 기억하기 위해서! 브라우저는 서버에 요청을 보내고, 서버는 이에 응답할텐데, 응답에는 모든 데이터와 클라이언트가 찾던 페이지 정보가 있다. 이때 응답에 쿠키도 포함함! 브라우저에 쿠키를 저장한 후, 해당 웹사이트에 방문할 때마다, 브라우저는 해당 쿠키를 요청과 함께 보내게 된다. 쿠키는 도메인에 따라 제한이 된다. ex) 유튜브가 준 쿠키는 유튜브에만 전송이 된다. 쿠키는 유효기간이 있다. (서버가 유효기간을 정함) 쿠키는 인증 뿐만 아니라, 여러가지 정보를 저장한다. session과 token이 필요한 이유 http프로토콜(클라이언트와 서버 사이 데이터를 전송하는 프로토콜)은 s..
2024.01.16 -
Oauth개념 및 동작방식
Oauth개념 및 동작방식 이해하기 웹 서핑을 하다보면 google과 kakao와 같이 외부 소셜 계정을 기반으로 간편히 회원가입 및 로그인할 수 있는 웹 어플리케이션을 쉽게 찾아볼 수 있다. 예를 들어, google로 로그인하면 API를 통해 연동된 계정 정보를 가져와 로그인이 간편하게 진행된다. 이때 사용되는 프로토콜이 OAuth이다. OAuth는 인터넷 사용자들이 비밀번호를 제공하지 않고 다른 웹사이트 상의 자신들의 정보에 대해 웹사이트나 애플리케이션의 접근 권한을 부여할 수 있는 공통적인 수단으로서 사용되는, 접근 위임을 위한 개방형 표준이다. (위키백과) '원티드라 서비스'는 사용자 인증을 위해 kakao, naver, facebook, google등의 사용자 인증 방식을 사용한다고 가정하자. ..
2024.01.15