1부 입문하기 - 보안? 궁금해요!
하는 일
- 서비스 취약점 진단 / 모의해킹
- 긴급 취약점 분석 및 대응
- 클라우드 인프라 취약점 진단
- 보안성이 확보된 이미지 제작 및 배포
- 각종 자동화 시스템 개발 및 운영
취약점 진단 vs 모의해킹
- 취약점 진단
- 체크 리스트를 기반으로 항목별 취약점이 존재하는지를 파악하는 작업
- 위협이 될 수 있는 취약점을 찾아내고, 이를 통한 공격이 가능한지를 확인하는 수준의 작엄
- 모의 해킹
- 실제로 공격한다고 가정하고 진행하는 작업
- 대상 시스템에 대한 정보를 수집
- 대상 시스템에 대한 취약점을 찾아내고, 이를 통한 공격 시나리오 수립
- 권한 획득, 권한 상승, 정보 탈취, 시스템 장악, 시스템 파괴, 서비스 장애 유발 등 발견한 취약점을 통해 어떠한 공격이 가능한지 구체적으로 확인하는 작업
2부 들여다보기 - 개발자가 알아야 할 보안이슈와 요즘 트렌드
- 서버 부하를 줄이기 위한 클라이언트에서 처리하는 기능이 증가
- 서버에서 처리해야만 하는 기능을 클라이언트에서 처리하면서 취약점 발생
- 효율적인 개발을 할 수 있게 도움을 주는 Framework를 사용
- Framework에서 제공하는 기능에 대한 설정을 부적절하게 하여 취약점 발생
- Framework 자체에서 발생하는 취약점으로 인한 영향도가 매우 커짐
- On-premise 환경보다는 인프라
- 서버 부하를 줄이기 위해 클라이언트 측에서 검증을 수행한다면 아래와 같은 오류가 발생함
IDOR - Broken Access Control과 연관됨
조치 방안
- 검증은 반드시 Session 또는 서버에서 진행 해야함
SSRF 취약점
- 서버에서 사용하는 내부 시스템의 정보를 빼내는 공격임
JWT를 이용한 인증
- JWT BlackList 를 Redis를 이용해서 관리
- 로그아웃 했을 때
- 임의로 만료시키고 싶을 때
- Jwt를 localstorage에 넣으면 안되고 http only 도 못쓴다
- Stateful token을 이용한다는건 유저 정보를 계속 매 api 마다 조회해서 비교하는 것을 수행하는 것이고 jwt를 쓴다는 것은 verify 만 하는 것을 의미함
- UUID 형태로 쿠키에 넣는 것을 많이 쓴다(Stateful token). UUID 형태로 토큰 내려주고 http-only 옵션 주고 내려주고. redis 이용
Actuator Misconfiguration
방안
