![]()
HTTP(HyperText Transfer Protocol) 인터넷 상에서 클라이언트와 서버가 자원을 주고 받을 때 쓰는 통신 규약 - HTTP는 텍스트 교환이므로, 누군가 네트워크에서 신호를 가로채면 내용이 노출되는 보안 이슈 존재 - 이런 보안문제를 해결해 주는 프로토콜이 HTTPS HTTPS(HyperText Transfer Protocol Secure) 인터넷 상에 정보를 암호화하는 SSL 프로토콜을 사용해 클라이언와 서버가 자원을 주고 받을 때 쓰는 통신 규약 HTTP를 암호화한다. - HTTPS 통신흐름 STEP1. CA(인증기관) 계약 STEP2. 브라우저와 서버의 통신 HTTPS도 무조건 안전한 것은 아니다. (신뢰받는 CA기업이 아닌 자체 인증서를 발급하는 경우)
![]()
대칭키 암호화와 복호화에 같은 암호키(대칭키)를 사용하는 알고리즘 - 동일한 키를 주고 받기때문에, 매우 빠름 - 대칭키 전달과정에서 해킹 위험에 노출이 있음 공개키 암호와와 복호화에 사용하는 암호키를 분리한 알고리즘 - 자신이 가지고 있는 고유한 암호키(비밀키)로만 복호활 할 수 있고, 암호키(공개키)를 대중에 공개함 - 공개키 암호화 방식 진행과정 1) A가 웹 상에 공개된 'B의 공개키'를 이용해 평문을 암호화하여 B에게 보냄 2) B는 자신의 비밀키로 복호화한 평문을 확인한 후 A의 공키로 응답을 암호화하여 A에게 보냄 3) A는 자신의 비밀키로 암호화된 응답문을 복호화 함 - 대칭키의 단점을 해결했지만, 암호화 복호화가 매우 복잡하다는 단점을 지님 SSL 방식 대칭키와 공개키 암호화 방식을 적절..
![]()
3way handshake - 연결 성립 TCP의 정확한 전송을 보장하기 위해서, 통신하기 전 논리접인 접속을 성립하기 위해 3way handshake 과정을 진행한다. 1. 과정 가. 클라이언트가 서버에게 SYN 패킷을 보낸다. 나. 서버가 SYN(x)을 받고, 클라이언트로 받았다는 신호인 ACK와 SYN패킷을 보낸다. 다. 클라이언트는 서버의 응답으로 ACK(x+1)와 SYN(y) 패킷을 받고, ACK(y+1)를 서버로 다시 보낸다. 이렇게 3번의 통신이 완료되면 연결이 성립된다. 3번 통신을 하여 3way handshake 라고 한다. 4way handshake - 연결 해제 연결이 성립된 후, 모든 통신이 끝나고 해제를 해야할 때 사용된다. 1. 과정 가. 클라이언트는 서버에게 연결을 종료한다는 ..
![]()
1. 추가된 속성 및 태그를 이용한 XSS(Cross-Site Scripting) 공격 XSS(Cross-Site Scripting)는 게시판이나 웹 메일 등에 JavaScript와 같은 스크립트 코드를 삽입 해 개발자가 고려하지 않는 기능이 작동하게 하는 공격이다. 가. 사용자가 특정 사이트를 신뢰한다는 점을 이용해 공격한다. 나. 악성코드가 클라이언트에서 발생한다. 다. XSS 공격의 유형 1) Reflected XSS 가) XSS 공격을 위한 스크립트를 포함 한 URL을 사용자에게 노출시킨다. 나) 사용자가 해당 URL을 클릭 할 경우, 스크립트가 포함된 URL을 통해 Request를 서버로 전송한다. 다) 웹 서버에서는 해당 스크립트에 대한 Response를 전송하게 된다. 2) Stored XS..
