세션고정 공격 로그인 인증 후에도 동일한 세션ID(식별자)를 사용할 경우, 공격자가 세션ID(ex. JSESSIONID)를 탈취하면 사용자명과 패스워드 없이 인증된 사용자의 세션을 사용할 수 있음 Spring Security의 세션고정 보호기능은 사용자가 인증된 후 명시적으로 새로운 세션을 생성하고, 기존 세션을 무효화할 수 있음 session-fixation-protection 속성 none() 세션 고정보호를 사용하지 않음 migrateSession() 사용자 인증 후 신규 세션 생성 시 기존 세션의 모든 속성이 새로운 세션으로 이동 newSession() 사용자 인증 후 신규 세션 생성 시 기존 세션의 몯ㄴ 속성은 새로운 세션으로 이동하지 않음 동시세션 관리 사용자가 동시에 고정된 수 (일반적으로는..
Spring Security WebSecurityConfigureAdapter를 상속받은 Config 클래스에 @EnableWebSecurity 어노테이션을 연결하면 SpringSecurityFilterChain이 자동으로 포함됨 #../configuration/SecurityConfig.java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { ... } WebSecurityConfigureAdapter 클래스는 Spring Security의 웹 보안 기능의 초기화 및 설정을 담당 HttpSecurity 클래스는 인증 및 인가 설정을 제공 WebSecurityConfigur..
지금은 애플리케이션 보안요구사항정의서를 제공하기 위한 셀프서비스를 기획하고 있는데, 여기서 사용할 보안요구사항을 어떻게 도출하면 좋을지 어떤 내용을 어떤 방식으로 제공할지를 찾아보다가 SRE를 알게되어 다양한 SRE와 관련된 여러 논문을 확인해보았다. 여러 종류의 SRE(Security Requirement Engineering) 논문을 확인해보면서 보안요구사항을 도출하면 좋을 것인가를 고민하게 되었다. 각 논문에 작성된 SRE는 각각의 내용은 정리해서 공유하는 것 또한 저작권법에 위법될 수 있기 때문에 공유할 수는 없을 것 같다. 그렇지만 여러 방법을 확인해보면서 몇가지 공통적인 것들과 어떤 목표를 위해 만들어졌는지를 알 수 있었다. 현재 준비중인 보안요구사항 도출방식은 확인했었던 SRE와 완전히 동일..
Kafka는 대용량 및 대규모 메시지 데이터를 빠르게 처리하도록 개발된 메시징 플랫폼 Kafka를 사용해야 하는 이유 Poll 방식 사용 시 통신에 참여하는 개체가 늘어날 수록 복잡도가 늘어나 수집 및 처리시간이 늦어지며, 신규 매체 추가 시 추가적인 작업이 필요함 데이터 파이프라인의 파편화를 통해 관리가 어려움 이에 따라 개발이 지연되고 데이터의 신뢰도가 떨어질 수 있음 Kafka 용어 메시지 : 데이터 단위 토픽 : 메시지를 구분하기 위해 사용되는 일종의 Group name 브로커 : 카프카 애플리케이션이 설치되어 있는 서버 또는 노드 프로듀서 : 메시지를 생산하여 브로커의 토픽으로 메시지를 보내는 서버 또는 애플리케이션 컨슈머 : 브로커의 토픽에서 메시지를 가져와 소비하는 서버 또는 애플리케이션 프..
CSA (Cloud Security Alliance) 대표 보안위협 데이터 유출 : 개인정보나 금융정보를 저장하는 데이터베이스나 스토리지가 외부에 직접 노출되거나 어플리케이션 취약점으로 공격받아 노출 Public Storage에 중요정보, 세션정보, 개인정보, 중요정보 저장 Private Storage에 평문으로 중요/개인/민감 정보등을 저장 인증키 등의 인증정보가 하드코딩으로 작성되어 노출 불충분한 ID, 자격증명 및 접근관리 : 중요권한을 가진 사용자, 운영자의 계정을 공유하거나 쉬운 패스워드 사용, 패스워드 노출 등으로 인해 무단 접속을 허용 어플리케이션이 사용하는 클라우드 모듈이 보안그룹으로 관리되지 않는 경우 관리자 권한의 계정/인증키 등을 어플리케이션에서 직접 사용하는 경우 특정 권한 또는 중..
보호되어 있는 글입니다.
- Total
- Today
- Yesterday