보호되어 있는 글입니다.

보호되어 있는 글입니다.

JWT(JSON Web Token) 시스템 간에 암호화된 JSON 데이터를 전송하기 위한 표준 형이다. 이론적으로 JWT는 모든 종류의 데이터를 포함할 수 있지만 인증, 세션처리 및 액세스 제어 메커니즘으로 인하여 일반적으로 사용자의 정보를 보내는 데 사용된다. 서버에 필요한 모든 데이터는 JWT 자체 내에 클라이언트에 저장된다. 따라서 JWT는 사용자가 여러 백엔드 서버와 원할하게 상호작용해야 하는 고도로 분산된 웹 사이트에서 사용된다. JWT Format JWT는 header, payload, signature 3가지 파트로 구성되어 있다. eyJraWQiOiI5MTM2ZGRiMy1jYjBhLTRhMTktYTA3ZS1lYWRmNWE0NGM4YjUiLCJhbGciOiJSUzI1NiJ9.eyJpc3MiO..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

Clickjacking 사용자가 사이트의 콘텐츠를 클릭할 때 악성 사이트의 콘텐츠를 클릭하게 되는 인터페이스 기반 공격이다. 한 예로 버튼을 클릭하면 돈을 주는 사이트가 있다고 가정해 보자. 사용자는 돈을 받기 위해 버튼을 클릭했는데 자신도 모르는 사이에 다른 계좌가 돈을 받았다. 이렇게 정상적인 사이트인척 속여서 사용자도 모르게 다른 행동을 취하는 공격이 클릭재킹이다. 클릭 재킹은 iframe 내 버튼이나 겨진 링크가 포함된 웹 사이트의 기능에 따라 공격이 달라진다. CSRF와 다른점은 CSRF의 공격 같은 경우는 사용자의 input 없이 전체 요청을 위조하지만 클릭재킹 같은 경우 사용자의 input이 있어야만 공격이 가능하다. Clickjacking은 기본적으로 CSS를 조작하여 레이어를 만든다. 대..

Directory Traversal 공격자가 응용 프로그램을 실행 중인 서버에서 임의의 파일을 읽을 수 있도록 허용하는 웹 보안 취약점이다. directory traversal공격을 통하여 애플리케이션 코드 및 데이터, 백앤드 시스템의 자격 증명 및 중요한 파일을 읽거나 접근할 수 있다. 또한 임의 파일에 쓰면서 데이터를 수정하여 서버를 제어할 수 있다. Background 절대경로: / -> 최상위 디렉터리를 기준으로 찾음 상대경로:./ -> 현재 디렉터리를 기준으로 찾음 상위 경로이동: ../ -> 현재 디렉터리의 상위 디렉터리로 이동 example loadImage url은 filename 매개변수를 사용하여 지정된 파일의 내용을 가져온다. 이미지 파일은 /var/www/images에 저장된다. 이..