03. Web/01. Concept
-
03. JWT03. Web/01. Concept 2023. 10. 25. 16:23
1. JWT란? JWT(Json Web Token)은 사용자 인증에 필요한 정보를 Json 포맷으로 구성한 토큰입니다. 이때 이 값은 암호화되어 있는데, 개인키를 보유한 서버는 이를 통해 토큰의 유효성을 검증할 수 있습니다. JWT는 각 구성요소가 점(.)으로 구분되어 있으며 Header, Payload, Signature로 구성됩니다. 1) Header : 토큰의 타입이나, 서명에 어떠한 암호화 알고리즘이 사용 되었는지 가 저장됩니다. 위 그림에서는 HS512 알고리즘이 사용되었습니다. 2) Payload : 인증에 필요한 사용자에 대한 실질적인 정보가 저장되는 곳입니다. 여기에서 주의 사항은 Payload에는 민감한 정보를 담지 않는 것입니다. header와 payload의 경우 Base64로 인코딩..
-
02. HTTP, TCP, Web Socket03. Web/01. Concept 2023. 10. 25. 16:19
1. HTTP(HyperText Transfer Protocol) HTTP통신은 Question을 물어보면 반드시 Answer이 돌아오는 비연결지향적인 단방향 통신입니다. 언제든 요청을 하면 그에 해당하는 값으로 답을 줍니다. , 단방향 통신으로 현재는 연결되어 있지 않습니다. HTTP의 가장 큰 특징은 request/response 입니다 HTTP - 7계층(Application layer) 2. TCP(Transmission Control Protocol) TCP통신은 Handshake라는 과정으로 서로가 통신을 할 수 있는 상태를 먼저 인증을 하고 나서 통신을 하는 연결지향적인 양방향 통신입니다. 이는 서로에게 언제든 실시간으로 상태를 보낼 수 있으며, 받을 수도 있습니다. TCP/IP TCP- 4..
-
01. URL 검색 시 동작 원리03. Web/01. Concept 2023. 10. 25. 15:52
URL 검색 시 밀리초 안에 펼쳐지는 마법 URL을 브라우저 주소 표시줄에 입력하고 Enter 키를 누르면 발생하는 일련의 과정에 대한 내용을 요약한 것입니다. 아래는 해당 내용을 번역한 것입니다: "URL의 여정: 키보드에서 웹 페이지로 완전히 로드되는 과정! 🌐 브라우저의 주소 표시줄에 URL을 입력하고 Enter 키를 누르면 어떤 마법이 몇 밀리초 동안 벌어지는지 궁금했던 적이 있나요? 🤔 밀리초 동안 펼쳐지는 마법을 해석해보겠습니다! ⏱️ 🌐 DNS(Domain Name System)의 역할: 브라우저는 DNS의 레코드의 캐시를 확인 하여 www.mypage.com 의 주소를 찾습니다. 1. 브라우저는 DNS레코드를 찾기 위해 순서대로 4개의 캐시를 확인합니다. 브라우저 캐시를 확인합니다. 이전에..
-
[WEB] 01. XSS(Cross Site Scripting)03. Web/01. Concept 2023. 8. 2. 08:27
* XSS(Cross Site Scripting, 크로스사이트 스크립팅) 취약점이란? 웹사이트에 악성스크립트를 주입하는 행위를 말한다. 주로 글을 쓰고 읽을 수 있는 게시판에서 많이 발생하지만 사용자의 입력 값을 웹 페이지에 보여주는 모든 곳에서 발생할 수 있다. 해커는 이를 통해 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 악성코드가 있는 URL로 리다이렉트 시킬 수 있다. 웹사이트 사이를 넘어서 공격한다는 의미에서 크로스 사이트 스크립팅이라는 용어가 생겼다. 기존에는 자바 스크립트만을 지칭하는 데 사용되었지만, 현재 XSS는 ActiveX, Flash, HTML등과 같은 비(非) JS도 포함하는 용어가 되었다. 1. Stored-XSS(저장형-XSS) 란? Stored-XSS 공격은 말 그대로 악성..
-
모의해킹 및 취약점 진단 Road Map03. Web/01. Concept 2023. 7. 30. 21:19
모의해킹에도 여러가지 분야가 있습니다. 가장 일반적으로 많은 사람들이 처음 접하게될 취약점 진단을 살펴 보겠습니다. 이후 레드팀 등 자신이 원하는 분야로 기술들을 하나씩 준비해 나가면 되겠습니다. 1. kisa 사이트에 있는 주요 정보통신 기반 시설 취약점 진단 가이드 목록을 사용한다. https://www.kisa.or.kr/2060204/form?postSeq=12&lang_type=KO&page=1 2. 취약점 을 테스트할 가상 서버 및 웹사이트를 제작한다. 가상환경 툴 : VMware 가상머신 설치 OS : Cent OS 가상머신 2개 : 웹서버, DB서버 웹프로그램 : JSP WAS(Web Application Server) : 아파치 톰캣 DB : Oracle 개발 IDE : 이클립스 DB I..