보안/웹보안
-
JWT (Json Web Token)보안/웹보안 2021. 3. 10. 20:57
JWT는 Json 을 이용해 안전하게 정보를 전달할 수 있는 웹 표준이다. 클라이언트가 서버에 인증을 요청할 때 사용된다. 인증을 위해 쿠키를 사용할 수도 있고 세션을 사용할 수도 있다. 그러나.. 쿠키를 사용하면 클라이언트가 브라우저에 정보를 raw 하게 저장하기 때문에 보안에 취약하고 세션을 사용하면 서버가 여러대인 경우 모두 세션ID 를 가지고 있어야 인증이 가능하기 때문에 부담스럽다. 결론부터 얘기하면 JWT를 사용하면 클라이언트가 정보를 가지고 있으면서 위변조 또한 불가능하기 때문에 서버 입장에서 편리해진다. 왜 일까? JWT의 구조 JWT의 구조를 보기전에 알아야 할 배경 지식은 JWT는 base64 인코딩과 해싱이 사용된다는 사실이다. {Header} . {Payload} . {Signatu..
-
WebGoat 란. 설치하기보안/웹보안 2020. 6. 8. 19:02
WEBGOAT 란? 최근 SQL Injection에 대해 배웠는데, 실습이랍시고 함부로 아무 사이트에다가 SQL문을 집어넣었다가는 정보통신망법 위반으로 혼날 수 있다. 그럼 배워서 어떻게 실습을 해야할까? 내가 서버를 만들어서 시도해도 되겠지만 이런 딜레마를 해결해주고 효율적인 실습을 도와주는 오픈소스가 제공되고 있다. 그게 바로 WEBGOAT 이다. WEBGOAT를 다운로드 & 설치하면 로컬호스트로 아래 웹사이트에 접속할 수 있다. 이렇게 친절하게 SQL Injection이 무엇인지 설명도 해주고, 여러가지 실습을 해볼 수 있다. SQL Injection 외에도, OWASP10 에 해당하는 공격들의 설명과 실습이 준비되어 있다. 설치 (환경 MAC OS X) 두가지 방법이 있다. .jar 파일을 받아서..