보안
-
[OAuth 2.0 API 보안] OAuth 2.0보안/인증, 인가 2022. 5. 19. 17:22
OAuth 2.0에 대해 OAuth 2.0은 OAuth 1.0에 기반을 두었지만 OAuth WRAP(웹 리소스 인가 프로필)의 영향을 크게 받았다. OAuth 1.0은 위임에 대한 프로토콜이고 OAuth 2.0은 인가를 위한 프레임워크이다. 1. OAuth 2.0 💡 OAuth 2.0은 접근에 대한 위임 문제를 담당한다. 외부의 서드파티 애플리케이션이 서비스의 데이터에 접근하고자 한다면 OAuth Provider의 자격 증명을 서드파티 애플리케이션과 공유한다. 이를 통해 서드파티 애플리케이션이 접근 권한을 위임 받을 수 있다. 다만 이 접근 권한의 위임은 서드파티 애플리케이션의 접근을 인정하는 것이기에 큰 문제를 발생시킬 수 있다. 이에 OAuth 2.0은 이 자격증명을 서드파티 애플리케이션과 공유하지 ..
-
[OAuth 2.0 API 보안] TLS를 통한 API 보안보안/인증, 인가 2022. 5. 19. 03:20
1. Order API 확인 스프링부트를 통한 예제 Order API를 이용하여 간단하게 알아보고자 한다. org.springframework.boot spring-boot-starter-actuator org.springframework.boot spring-boot-starter-web 예제에서 위 종속성은 각각 다음을 제공한다. 다른 스프링 모듈의 통합을 위한 starter 톰캣과 스프링 MVC, REST 등의 환경과 구조를 제공하는 starter-web 애플리케이션 모니터링 및 관리를 위한 starter-actuater @RestController @RequestMapping(value = "/order") public class OrderProcessing { @RequestMapping(val..
-
[OAuth 2.0 API 보안] API 보안 설계보안/인증, 인가 2022. 5. 9. 18:50
OAuth 2.0 1. 데이터 유출의 3가지 원인 연결성 최근 기업체들에선 많은 API나 시스템을 연동한다. 여기에는 보안적 결함이 존재하는 레거시 시스템들도 포함된다. 확장성 최근의 시스템들은 확장의 용이성을 고려하여 설계, 제작된다. 새롭게 추가되는 소스코드들의 기능은 브라우저와 같은 곳에서 보안 요소의 우회를 발생시킬 수 있다. 복잡성 복잡성으로 인해 파악되지 못한 취약점이 다수 존재할 수 있다. 복잡성은 유지보수의 난이도 상승으로 연결되어 수정하기 힘든 취약점이 다수 존재할 수 있다. 2. API 설계에서 고려할 점 사용자 경험 강한 보안 요소를 적용시키기 위해 사용자의 편의성을 과도하게 침범하면 안 된다. 나쁜 사례 : 과도한 비밀번호 조건 좋은 사례 : FaceID 성능과 비용 접근 키가 필요..
-
[OAuth] Social Auth REST API : URI MISS MATCH보안/인증, 인가 2021. 12. 26. 16:25
장고 API 서버 만들기 포스팅을 정리하면서 올리려고 하는데 이 글을 먼저 쓰게 됐다.이유는 그냥 잊어먹지 않으려고... 장고 포스팅을 보면 코딩이며 설정이며 야매로 했다고 한 것을 볼 수 있는데 그 연장선이라고 생각하자.나는 이것이 명확한 해답인지는 모르겠다. 혹시 이 글을 보는 누군가가 정답을 안다면 알려준다면 좋겠다. Django-Rest-Framework(DRF)로 소셜 로그인 API 구현해보기(Google, KaKao, Github)SPA(react.js), Mobile App을 DRF(Django-Rest-Framework)와 연동하여 진행하는 프로젝트의 일환으로 소셜 로그인을 구현해 보았다.medium.com나는 장고 서버에 소셜 인증 기능을 추가했는데 위 글을 따라 해보며 했다...코드..
-
[내부 CTF] MISC:금고털이범보안/Wargame 2021. 8. 24. 00:48
$ sudo docker pull floodnut/bankrobbery:safebox 위 명령어로 도커 이미지(문제)를 당겨오자. $ sudo docker images REPOSITORY TAG IMAGE ID CREATED SIZE floodnut/bankrobbery safebox a1e6d7190237 27 minutes ago 5.6MB 당겨온 이미지를 확인하면 위와 같은 이미지를 확인할 수 있다. 여기서 이미지 아이디가 위와 같은지 확인한다. $ sudo docker run -it floodnut/bankrobbery:safebox tttest $ sudo docker ps -a CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES bdc3fdd2cb4..