SMASMC SMASMC

CSRF와 XSS에 대한 설명CSRF (Cross Site Request Forgery)사용자의 의지와 무관하게 공격자가 의도한 요청(modify, delete 등)을 특정 웹사이트에 보내는 공격.사용자의 권한을 도용해 중요한 작업을 실행.ex) 사용자가 해커가 만든 피싱 사이트에 접속한 상태에서 자동 로그인이 활성화된 SNS 계정으로 광고성 글이 게시됨.대응 기법리퍼러(Referrer) 검증: 요청이 승인된 도메인에서 왔는지 확인.Security Token 사용: 서버에서 생성한 난수를 세션에 저장하고, 요청 시 해당 난수를 포함해 서버가 검증.단점: XSS에 취약하면 CSRF 공격 가능.XSS (Cross Site Scripting)공격자가 웹사이트에 악성 스크립트를 삽입해, 이를 열람한 사용자의 데..

CSR과 SSR에 대한 설명CSR (Client-Side Rendering)클라이언트(브라우저)에서 JS를 사용해 HTML을 렌더링클라이언트가 서버로부터 데이터를 받아 동적으로 페이지를 생성단일 페이지 애플리케이션(SPA)에 주로 사용된다.*SPA(Single Page Application) : 한 개의 HTML 페이지에서 동적으로 콘텐츠를 로드하며 페이지 전환SSR (Server-Side Rendering)서버에서 HTML을 완전히 렌터링한 후 클라이언트(브라우저)에 전달클라이언트는 이미 완성된 HTML을 받아 바로 화면에 표시한다.멀티 페이지 애플리케이션(MPA) 및 SEO 중심 웹사이트에 주로 사용된다.*MPA(Multi Page Application) : 각 페이지마다 별도의 HTML 파일을 서버..

Logging Level로그 레벨 설명 예시ERROR치명적인 문제 발생, 즉각 조치 필요데이터베이스 연결 실패WARN주의가 필요하지만 프로세스는 계속 진행캐시 값 사용, 보안 설정 미비INFO중요한 작업 시작/종료 기록주문 생성 완료, 백업 작업 성공DEBUG개발자가 디버깅을 위해 기록할 정보메소드 호출값, SQL 쿼리 실행

JWT (JSON Web Token)JWT는 두 개체(ex: 클라이언트와 서버)간 정보를 안전하게 전달하기 위한 웹 표준(RFC 7519)이다.로그인 인증과 API 보안 등에 자주 사용되며 Header, Payload, Signature의 세 부분으로 구성된다.Header (헤더)토큰 타입(typ)과 해싱 알고리즘(alg) 두가지 정보를 지니고 있다.ex){ "typ": "JWT", "alg": "HS256"}Payload (페이로드)토큰에 담길 정보(Claim클레임)를 포함클레임은 크게 세분류로 나눠진다.등록된 클레임 : 표준화된 정보 (ex: exp-만료시간, iat-발급시간, iss-토큰 발급자 등)공개 클레임 : URI 형식으로 충돌 방지된 정보비공개 클레임 : 양측 간 합의된 데이터ex){ ..

항목HTTP(HyperText Transfer Protocol)HTTPS(HyperText Transfer Protocol Secure)보안암호화되지 않음SSL/TLS로 암호화속도HTTPS보다 빠름(암호화 부재)암호화로 인해 HTTP보다 약간 느림포트기본적으로 80번 사용기본적으로 443번 사용사용 사례단순 정보 제공 (블로그, 뉴스 등)민감한 정보 처리(로그인, 결제, 쇼핑몰 등)