OAuth 인증 제공자가 지켜야 하는 보안 사항 1. TLS 적용 2. 최소 범위(scope) 설정 3. Refresh Token 사용 관리 4. State 파라미터 활용 5. Redirect URI 검증 및 고정 6. 클라이언트 ID 및 비밀 보호 7. 액세스 토큰의 수명 제한 8. Implicit Grant Flow 사용 제한 9. 액세스 토큰의 안전한 전송 10. 로그 및 모니터링 (IDS/IPS 포함) 11. 동적 클라이언트 등록 제한 12. 사용자 로그아웃 시 모든 토큰 무효화 13. 클라이언트 자격 증명 보호 14. Bearer 토큰의 안전한 전송 15. 권한 부여 코드와 토큰 재사용 방지 16. 사용자 정보의 최소한 제공 17. 불필요한 인증 정보 전송 금지 18. 만료된 토큰 처리 19. ..
인증 및 권한 부여 • API Gateway를 사용하여 인증 및 권한 관리를 중앙화한다. • 적절한 인증 방식을 구현한다: • API 키 기반 인증 • JWT 기반 인증 • OAuth 2.0 • 기본 인증(HTTPS 필수) • 상호 SSL 인증 • 역할 기반 접근 제어(RBAC)를 적용한다. • 강력한 비밀번호 정책을 수립하고 다요소 인증을 적용한다. • 로그인 시도 제한 및 계정 잠금 정책을 도입한다. • 토큰과 자격 증명을 안전하게 저장하고 전송한다. 입력 검증 및 데이터 유효성 검사 • 모든 입력 데이터를 서버 측에서 검증한다. • 화이트리스트 기반의 입력 검증을 수행한다. • 데이터 타입, 길이 제한, 형식 검증을 적용한다. • 인젝션 공격(SQL, NoSQL, OS 명령어 등)..
ChatGPT를 이용하여 AWS re:Inforce 2023 컨퍼런스 중 애플리케이션 보안과 관련된 세션 내용을 정리하고 어떤 트랜드가 있는지 확인해 보았다. https://docs.google.com/spreadsheets/d/1_BE8hfimkhHcgajB38Yt34F_64B19EvIWuwKA8ORxyw/edit#gid=1979300205 re:Inforce 2023 Application Security Trends AWS re:Inforce 2023의 애플리케이션 보안 관련 세션들은 현대적인 애플리케이션 개발 환경에서 보안이 중요한 측면 중 하나임을 강조합니다. 클라우드 서비스, AI/ML 기술의 통합, 개발 및 배포 프로세스에서의 보안 통합과 같은 다양한 주제를 다루며, DevSecOps 문화의 ..
ChatGPT를 이용하여 AWS re:Invent 2022 컨퍼런스에서 이야기 한 내용을 정리하고 어떤 트랜드가 있는지 확인해 보았다. https://docs.google.com/spreadsheets/d/1_BE8hfimkhHcgajB38Yt34F_64B19EvIWuwKA8ORxyw/edit#gid=0 1. Re:Invent 2022 Trends 서버리스 및 마이크로서비스 아키텍처 클라우드 환경에서 서버리스와 마이크로서비스 아키텍처의 채택이 증가하고 있으며, 이는 개발의 속도와 유연성을 높이는 동시에 운영 복잡성과 보안 과제를 증가시키고 있습니다. 이러한 아키텍처는 DevOps, 보안, 인프라 자동화에 대한 새로운 접근 방식을 요구합니다. 암호화 및 데이터 보호 암호화 및 데이터 보호에 대한 관심이 커..
서비스 패스워드 재인증 개인정보 노출 현재 패스워드 요구 패스워드 정책 패스워드 정책 특이사항 패스워드 변경 안내 다른 디바이스 로그인 유지 기능 제공 추가 인증 강제 로그아웃 특이사항 네이버 X X O 영문 대소문자, 숫자, 특수기호 포함 8~16자리 네이버 알림 X 자동입력 방지문자 X 카카오 O Login ID (Email) X 영문 대소문자, 숫자, 특수기호 조합하여 8~32자리 카카오톡 메시지 이메일 O X X 쿠팡 O Login ID (Email) O 영문, 숫자, 특수기호 2가지 이상 조합하여 8~20자리 X X X O 11번가 O Login ID O 영문, 숫자, 특수기호 모두 포함하여 8~20자리 X O X X YES24 O Login ID X 영문 대/소문자, 숫자, 특수기호 조합하여 ..
패스워드 변경 프로세스 사례 #3
Netflix 비밀번호 변경 현재 비밀번호 및 변경 비밀번호 입력 패스워드 정책 6~60자리 숫자 10+ 부터 허용 모든 기기에 로그아웃 옵션 제공 이메일로 패스워드 변경 안내 Disney+ 멤버십을 유지하지 않으면 패스워드 변경이 불가한 것으로 보임 패스워드 변경과 찾기를 같은 기능으로 사용하는 것으로 보임 등록된 이메일로 패스코드(6자리 숫자)를 전달하여 이메일에 대한 점유인증 진행 패스워드 변경 패스워드 정책 알파벳, 숫자, 특수기호 모두 포함하여 최소 8자리 모든 기기 로그아웃 옵션 제공 Twitch 로그인 시 EMail 점유인증이 진행됨 패스워드 변경 현재 패스워드와 신규 패스워드를 입력 패스워드 정책 8자리 숫자 15+자리 : 허용 https://help.twitch.tv/s/article/c..
패스워드 변경 프로세스 사례 #2
YES24 현재 패스워드 확인 (유저 패스워드 재확인) 현재 로그인한 사용자의 로그인 계정명 노출 패스워드 변경버튼 클릭 시 숨은정보 해제를 요청하는 다이얼로그 출력 생년월일/이메일로 2차인증 생년월일 선택 시 입력정보 검증 이메일 선택 시 이메일 점유인증 진행 패스워드 변경 패스워드 변경 시 모든 기기에서 로그아웃 처리라고 안내됨 패스워드 정책 영문 대/소문자, 숫자, 특수기호 조합하여 8~20자리 패스워드 변경완료 후 로그아웃 및 로그인 페이지로 이동 Facebook 패스워드 변경 현재 패스워드와 신규 패스워드를 입력 패스워드 정책 영문, 숫자, 특수기호 포함 최소 6자리 숫자 6자리 : 허용 로그인된 다른기기에 로그아웃 또는 로그인 유지 확인 이메일로 패스워드 변경 안내 TWorld 패스워드 변경 ..
패스워드 변경 프로세스 사례 #1
네이버 현재 로그인한 사용자의 정보를 보여주지 않음 현재 비밀번호 입력 자동입력 방지문자 입력 패스워드 정책 8~16자의 영문 대소문자, 숫자, 특수문자만 가능 사용 가능한 특수문자 32자 : ! " # $ % & ' ( ) * + , - . / : ; ? @ [ ₩ ] ^ _ ` { | } ~) https://help.naver.com/service/5640/contents/1036?lang=ko 안전한 비밀번호 만드는 방법 : 회원정보 고객센터 비밀번호 안전 진단기네이버는 회원님의 안전한 비밀번호 관리를 위해 비밀번호 안전 진단기를 제공합니다.비밀번호 안전진단기는 새로 바꾸고자 하는 비밀번호의 보안 정도를 측정해 주 help.naver.com 네이버 알림으로 패스워드 변경을 안내 카카오..
- Total
- Today
- Yesterday