2025/03/19 3

https 아니고 http면..?

뭐 보안은 안좋다는거 알겠는데.. 왜지? 라고 궁금했다. 그냥 구현했을뿐.. 그리고 클라이언트가 https면, 서버는 http면 안된다길래 왜..? 라고 했는데 이유가 있었다. 우선 보안  어떻게 훔쳐보는거지? -> 공용 Wi-Fi (MITM 공격 가능)스타벅스, 공항, 카페 등에서 제공하는 공용 Wi-Fi를 사용할 때 발생.같은 네트워크를 공유하는 모든 사용자의 패킷을 감청할 수 있음.같은 로컬 네트워크 (LAN)같은 네트워크 안에 있으면 ARP 스푸핑 등으로 패킷을 가로챌 수 있음. 예: 회사 내부망, 기숙사 Wi-Fi, 공유기 해킹.라우터 해킹 (ISP 스니핑)라우터나 인터넷 제공업체(ISP)에서 패킷을 감청할 수 있음.국가 기관, 검열 시스템 등이 이 방법을 활용. 보통 Wireshark 라는 패..

카테고리 없음 2025.03.19

CSRF 해결책

CSRF(크로스 사이트 요청 위조, Cross-Site Request Forgery)는 사용자가 원치 않는 요청을 보내게 만드는 공격임  CSRF가 어떻게 일어날까? 네가 은행(A사이트)에서 로그인 함.브라우저에 자동 로그인 유지되는 쿠키(세션) 저장됨.즉, 다시 로그인할 필요 없이 바로 계좌이체 가능.해커가 악성 사이트(B사이트)를 운영함.B사이트에는 숨겨진 HTML 폼이나 자동 요청 코드가 있음.네가 B사이트를 방문하는 순간, 자동으로 A사이트에 요청이 날아감.A사이트(은행)는 네가 이미 로그인된 상태이므로, 자동 로그인 쿠키가 함께 전송됨.즉, 요청이 네가 직접 보낸 것처럼 보임!  해결책 )  CSRF Token 사용  서버에서 랜덤한 토큰을 발급하고, 요청마다 확인하는 방식임. -> Spring..

TIL 2025.03.19

sql injection / XSS 예방법

1. SQL InjectionSQL Injection은 웹 애플리케이션의 데이터베이스를 공격하는 방법! 개념: 공격자가 웹 애플리케이션의 입력 필드에 악의적인 SQL 코드를 삽입하여 데이터베이스를 조작하는 공격임 ' OR '1'='1위 코드를 로그인 필드에 입력하면, 원래 쿼리가 SELECT * FROM users WHERE username='' OR '1'='1' AND password='password''1'='1'은 항상 참이므로 인증을 우회할 수 있습니다. 예방법:Prepared Statements 사용하기입력값 검증 및 이스케이프 처리ORM(Object-Relational Mapping) 활용데이터베이스 권한 최소화  -> ORM 쓰면 대부분 해결. BUT 네이티브 쿼리 사용시나 동적쿼리 만들때..

TIL 2025.03.19