Security/security, hackering7 [Security 정보보안] JWT 토큰 이번 글에서는 JWT토큰에 대한 실습을 해보겠습니다. JWT토큰의 개요 JWT 토큰에서 서명(Signature)은 토큰의 무결성을 검증하는 역할을 수행하는 부분인데 서명은 토큰의 내용이 변경되지 않았음을 확인하고, 해당 토큰이 신뢰할 수 있는지를 확인하기 위해 사용됩니다. JWT는 페이로드(Payload)에 사용자 데이터와 같은 정보를 담고 있는데 이 페이로드는 JSON 형식으로 작성되어 있어서 누구나 읽을 수 있을 수 있습니다. 따라서 토큰의 내용을 바꾸는 시도가 있을 수 있습니다. 따라서 서명을 통해 이런 변조를 막으려고 합니다. 서명은 토큰의 헤더(Header)와 페이로드, 그리고 비밀 키를 이용하여 생성됩니다. 이 서명을 생성하는 과정은 토큰의 일부분으로 추가되며, 이 서명이 있으면 토큰이 변조되.. 2023. 8. 23. [Security 정보보안] Authentication Bypasses 인증 우회 기법 이번에는 인증 우회에 대해서 알아보겠습니다. 인증우회(Authentication Bypasses)의 개요 인증 우회 공격에 대해 알아보려고 합니다. 이해하기 쉽게 설명해보겠습니다. 먼저, '인증'이란 간단히 말해서 '당신이 누구인지 확인하는 과정'입니다. 대표적으로 로그인할 때 아이디와 비밀번호를 입력해서 인증을 받는 건 인증 과정의 하나로 볼 수 있습니다. 이러한 인증 과정을 속여서 해킹을 할 수 있는 데 이것이 바로 '인증 우회 공격'입니다. 이 공격은 인증을 뚫어버려서 보안 장치를 피해 원치 않는 동작을 할 수 있는 것입니다. 로그인을 할 경우 만약 인증 우회 공격이 성공한다면, 로그인을 한 사람처럼 보이지 않고 다른 사람이나 악의적인 프로그램이 시스템에 접근할 수 있을겁니다. 어떻게 인증을 우회할.. 2023. 8. 23. [Security 정보보안]XXE XML external entity 공격 with Webgoat 오늘은 WebGoat를 통해서 XXE공격에 대해서 알아보겠습니다. XXE에 대한 개요 오늘은 XXE에 대해서 설명을 해보겠습니다. XXE는 XML 문서 내에서 외부 엔티티를 참조하거나 포함시켜서 발생하는 취약점입니다. 엔티티는 재사용 가능한 데이터 조각을 나타내는 것으로, 일종의 변수처럼 생각하면 됩니다. 그 예로, 웹 애플리케이션이 사용자에게 입력 받은 XML을 파싱하고(해석하고) 처리한다고 가정해볼게요. 사용자가 입력한 XML에는 외부 파일의 경로를 포함한 엔티티를 사용하는 부분이 있다고 가정해보겠습니다. 쉽게 이야기 하면 외부 파일 등의 경로를 입력받을 수 있다는 장점이 있지만 이를 해커가 악용할 수 있습니다, 아래의 코드를 보겠습니다. &mydata; 위의 코드에서는 부분은 mydata라는 엔티티.. 2023. 8. 23. 이전 1 2 다음
