보안
-
[OAuth 2.0 API 보안] TLS를 통한 API 보안보안/인증, 인가 2022. 5. 19. 03:20
1. Order API 확인 스프링부트를 통한 예제 Order API를 이용하여 간단하게 알아보고자 한다. org.springframework.boot spring-boot-starter-actuator org.springframework.boot spring-boot-starter-web 예제에서 위 종속성은 각각 다음을 제공한다. 다른 스프링 모듈의 통합을 위한 starter 톰캣과 스프링 MVC, REST 등의 환경과 구조를 제공하는 starter-web 애플리케이션 모니터링 및 관리를 위한 starter-actuater @RestController @RequestMapping(value = "/order") public class OrderProcessing { @RequestMapping(val..
-
[OAuth 2.0 API 보안] API 보안 설계보안/인증, 인가 2022. 5. 9. 18:50
OAuth 2.0 1. 데이터 유출의 3가지 원인 연결성 최근 기업체들에선 많은 API나 시스템을 연동한다. 여기에는 보안적 결함이 존재하는 레거시 시스템들도 포함된다. 확장성 최근의 시스템들은 확장의 용이성을 고려하여 설계, 제작된다. 새롭게 추가되는 소스코드들의 기능은 브라우저와 같은 곳에서 보안 요소의 우회를 발생시킬 수 있다. 복잡성 복잡성으로 인해 파악되지 못한 취약점이 다수 존재할 수 있다. 복잡성은 유지보수의 난이도 상승으로 연결되어 수정하기 힘든 취약점이 다수 존재할 수 있다. 2. API 설계에서 고려할 점 사용자 경험 강한 보안 요소를 적용시키기 위해 사용자의 편의성을 과도하게 침범하면 안 된다. 나쁜 사례 : 과도한 비밀번호 조건 좋은 사례 : FaceID 성능과 비용 접근 키가 필요..
-
[OAuth] Social Auth REST API : URI MISS MATCH보안/인증, 인가 2021. 12. 26. 16:25
장고 API 서버 만들기 포스팅을 정리하면서 올리려고 하는데 이 글을 먼저 쓰게 됐다.이유는 그냥 잊어먹지 않으려고... 장고 포스팅을 보면 코딩이며 설정이며 야매로 했다고 한 것을 볼 수 있는데 그 연장선이라고 생각하자.나는 이것이 명확한 해답인지는 모르겠다. 혹시 이 글을 보는 누군가가 정답을 안다면 알려준다면 좋겠다. Django-Rest-Framework(DRF)로 소셜 로그인 API 구현해보기(Google, KaKao, Github)SPA(react.js), Mobile App을 DRF(Django-Rest-Framework)와 연동하여 진행하는 프로젝트의 일환으로 소셜 로그인을 구현해 보았다.medium.com나는 장고 서버에 소셜 인증 기능을 추가했는데 위 글을 따라 해보며 했다...코드..
-
[내부 CTF] MISC:금고털이범보안/Wargame 2021. 8. 24. 00:48
$ sudo docker pull floodnut/bankrobbery:safebox 위 명령어로 도커 이미지(문제)를 당겨오자. $ sudo docker images REPOSITORY TAG IMAGE ID CREATED SIZE floodnut/bankrobbery safebox a1e6d7190237 27 minutes ago 5.6MB 당겨온 이미지를 확인하면 위와 같은 이미지를 확인할 수 있다. 여기서 이미지 아이디가 위와 같은지 확인한다. $ sudo docker run -it floodnut/bankrobbery:safebox tttest $ sudo docker ps -a CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES bdc3fdd2cb4..
-
[Webhacking.kr] old-02보안/Wargame 2021. 7. 28. 16:48
old 2번 문제를 풀어보자. 문제 페이지에 접속하면 위와 같은 페이지가 나온다. 간단하게 먼저 확인해 볼 수 있는 페이지 소스를 보고 쿠키 값을 확인했다. Restricted areaHello stranger. Your IP is logging... 2번 문제의 html 소스코드를 확인하면 2개의 정보를 얻을 수 있다. 시간 정보가 하나 있고 admin.php 라는 페이지에 대한 정보가 있다. admin 페이지에서 플래그를 입력하면 된다. 쿠키값을 확인해보니 time에 정수값이 들어있었다. 이 값은 기준으로부터 현재까지의 시간을 초로 나타낸 EpochTime 이다. 쿠키 값에 10을 넣고 새로고침하니 시간이 바뀌었다. 초가 10으로 바뀐걸 주목하자. 해당 값이 쿠키값 입력에 따라 정해진다는 걸 알 수 ..