작업공간

Daily Object - node.js - Express.js 혹은 golang - gin을 사용하여 서버 구축 시작 Review - 실제 언어를 이용한 서버 구축에서 인증서 생성과 등록의 어려움을 겪었다. 인증서 생성 Opensource인 openssl 을 사용하여 테스트용으로 만들 서버를 위한 cert, key file을 생성하였다. openssl reference를 보고 따라하면 된다. 위와 같이 crt, csr, key 생성을 완료했다. 서버 구축 서버는 golang의 gin-gonic package를 사용했다. dir 구조는 아래와 같다. ginSSL ㄴ go.mod ㄴ go.sum ㄴ main.go ㄴ server.crt ㄴ server.key main.go의 code는 아래와 같다. p..

2022 - 01 - 20 Daily Object - node.js - Express.js 혹은 golang - gin을 사용하여 서버 구축 시작

Daily Object - Hash , 암호화 알고리즘 학습 Review - 향후 프로젝트에서 사용될 보안 알고리즘의 이론들을 정리해봤다. 개념을 이해하여 함수 작성을 할 때 파라미터 적용을 쉽게 할 수 있을 것 같다. Hash 암호 기법의 핵심적인 부분인 해싱 알고리즘 설명을 시작하겠습니다. 해싱 알고리즘은 “데이터를 최종 사용자가 원문을 추정하기 힘든 더 작고, 뒤섞인 조각으로 나누는 것”을 의미합니다. 해시 함수는 특정 입력 데이터에서 고정 길이값 또는 해시값을 생성하는 알고리즘입니다. 이는 평문을 암호화된 텍스트로 변환하고 해독을 통해 암호화된 텍스트를 원래 평문으로 바꾸는 암호화와는 다릅니다. 해싱 알고리즘의 경우, 암호화 해시 함수로 평문을 해시 처리한 텍스트로 바꿔, 해커가 알아보기 힘들게..

2022 - 01 - 20 Daily Object - Hash , 암호화 알고리즘 학습

Daily Object - CSP / OWASP 학습 Review - CSP 웹사이트에서 XSS 공격을 막기 위해 만든 정책이라고 한다. XSS 공격은 무엇인가? XSS(Cross Site Scripting) 웹 브라우저에서 사용자가 입력 할수 있는 input태그 등에 악의적인 script를 작성하여 해당 contents를 이용하는 다른 이용자의 개인정보 및 쿠키정보 탈취, 악성코드 감염, 웹 페이지 변조등의 공격을 한다. 예를 들어 input 태그에 아래와 같은 javascript 문장을 넣고 submit을 하여 서버에 저장하면 해당 input 태그가 존재하는 페이지를 다른 사용자가 열면 alert 창을 마주하게 된다. 악의적인 공격에서는 단순 alert가 아닌 정보 탈취를 위한 코드를 삽입하여 다른 ..

2022 - 01 - 13 Daily Object - 컨텐츠 보안 정책, OWASP 보안 정책 학습

Daily Object - SSL/TLS 학습 Review - SSL 계층 프로토콜의 자세한 구조를 이해하였고, SSL 인증서 등급이 암호화 성능에 상관 없다는 것을 처음 알았음. SSL? TLS? SSL은 통신 상에서 보안 취약을 해결하기 위한 레이어이고 TLS는 SSL의 새로운 버전( TLS = SSL v4 )이다. 크게 다를 것 없다. Change Cipher Spec Protocol Handshake 프로토콜의 마지막에서 세션 키로 암호화할 것을 결정하는 메시지용으로 사용됨. 암호화 알고리즘과 보안 정책을 송수신 측간에 조율하기 위해 사용하는 프로토콜이다. 프로토콜의 내용에는 단 하나의 바이트, 언제나 1이라는 값이 들어간다. Handshake Protocol ( 중요 ) 사용자가 웹브라우저로 ..

2021 - 12 - 30 Daily Object - SSL/TLS 학습