시큐어
-
Spring SecurityJava/Spring 2018. 9. 11. 16:24
Spring Security 보안에 있어서 가장 중요한 개념은 “인증(Authentication)”과 “권한부여(Authorization)”이라 할 수 있다. 인증(Authentication)이란 애플리케이션의 사용자가 해당 사용자가 주장하는 본인이 맞는지 확인하는 절차로써 아래와 같은 방법을 사용할 수 있다. - 크리덴셜 기반 인증 : 사용자명과 비밀번호를 이용한 방식 - 이중 인증 : ATM기기를 이용할 떄처럼 물리적인 카드와 사용자가 입력한 개인정보를 조합하는 방식 -> OTP, 핸드폰 본인인증 - 하드웨어 인증 : 자동차 키와 같은 방식 권한부여(Authorization)란 인증을 통해서 인증된 주체를 하나 이상의 권한에 매핑해, 보호된 리소스에 대한 권한을 체크하는 것을 말한다. - 인증이 되었..
-
Secure Coding - 소프트웨어 개발 방법론Java/Spring 2018. 9. 6. 11:26
* Secure Coding 1. 소프트 개발 보안 방법론 - 개요 개발서버 - 스테이징서버 - 웹애플리케이션서버 3가지가 있다. 그 뒤에 DB가 존재한다. 방화벽이 있으면(인가되지않는 사용자막는 방화벽, 패턴인식 방화벽, 웹 방화벽) 방화벽을 달아도 애플리케이션서버가 바로 공격당할 수 있다. ex)DDOS, 랜섬웨어 - 보안 침해사고 유형 및 사례 멀웨어, XSS, 워터링 홀은 타겟이 개인이고 SQLi, DDOS, Web Shell 등은 서버를 공격한다. MyBatis에서 ${}를 쓰면 SQLi에 위험이 있다. 양자컴퓨터로도 못푸는 암호 방식 -> 블록체인 웹애플리케이션 취약점 이용 - url패턴을 통한 개인정보 탈취 - 서버로 접근해서 내부망 해킹 및 악성코드 삽입 - 파일 업로드 취약점을 이용 - ..