앵하니의 더 나은 보안

RESTful API의 가장 큰 특징 uniform interface RESTful API, RESTful API 말만 많이 들어보고 두루뭉실하게만 이해했지 사실 정확히 아는사람은 많이 없을거다. 그래서 찾아보고 공부해본 바, 필자가 이해한 RESTful API는 가장 큰 특징으로 uniform interface를 가진다는것이다. 그럼 이 uniform interface는 뭘 말하는걸까? Uniform interface RESTful API 환경을 구성한다 함은, 이 uniform interface를 필수구성요소로 넣어야함을 뜻한다. 흔히들 Uniform interface만 구성했다고해서 RESTful API 환경을 만들었다고도 한다.(엄밀히 따지자면 uniform interface만 구축했다고 해서 R..

서론 HTTPS(SSL/TLS)-세션-성립-과정을 통해 HTTPS 세션이 어떻게 맺어지는지, 어떻게 핸드쉐이킹을 하는지 대략적으로 알아봤다. 근데, 막상 와이어샤크로 HTTPS 핸드쉐이킹 과정의 패킷을 잡으려니 Client Hello, Server Hello 이후 Certificate 과정부터는 볼 수가 없었다. 그래서 왜 이와 같은 문제가 생기는지 확인하고, 어떻게해야 Certificate 패킷을 확인할 수 있는지 한번 알아보겠다. 본론 TLS 1.3 결론부터 말하자면 Certificate 과정을 와이어샤크에서 확인할 수 없는 이유는, TLS 1.3 통신때문이다. TLS 1.3부터는 Client Hello, Server Hello 이후의 모든 패킷은 암호화되어, 와이어샤크에서 Application Da..

서론API 환경에서의 XSS를 시도해서 무난하게 성공한적이 있는가?분명히 burp의 response에서는 스크립트 태그 값 이 평범하게 찍혀나오는데,이상하게 브라우져로 펼쳐지기만 하면 각각 <, >으로 치환돼서 보인다.물론 가 필요없는 곳에서는 동작할 수 있지만, 그런환경을 아직 본적이 없다.그래서 왜 그런지 진상 규명 실시하고 어떻게 해야할런지, 어떻게해야 동작시킬 수 있는지 한번 알아보자 본론HTML 파일에서의 XSS 동작일단 아래 HTML 파일을 작성해 테스트에 사용해보자XSS TestXSS test 그리고 실행하면 당연히 XSS test alert를 확인할 수 있다. 이는 브라우저의 document 영역에 xss 스크립트 구문이 존재하기 때문인데그렇다는 말인즉, api 환경에서는 브라..

들어가기전에 웹 서비스에서 XSS를 공략할 때, Response에 입력한 값이 그대로 노출되는데 브라우저에서는 동작하지 않았던 적이 있는가? 필자는 그런적이 있는데, 그땐 졸업한지 얼마안됐던 때라 왜 안되지라고만 생각하고 딱히 정답은 못찾았었다. 그렇게 우여곡절을 겪다가 대뜸 응답 헤더에 나와있는 x-xss-protection이라는 이상한 애를 찾고는, 아 응답 헤더에 보안 관련 설정 값을 넣을 수 있구나, 추후에 정리해야겠다 생각했지만 공부만 하고 따로 정리한적은 없어서 조금 여유있는 시간을 활용해 HTTP 보안헤더에 대해 정리해보려 한다. 보안헤더는 크게 5가지가 있는데 이 중에 XSS/CSRF 관련 보안헤더만 4개정도를 차지한다. 각각 어떻게 생겼고, 어떤 역할을 하는지 그리고 어떤 원리로 공격을 ..