앵하니의 더 나은 보안

JWT는 json web token 약자로 보통 사용자 식별에 사용되는 세션의 대체용으로 사용된다. 클라이언트가 보낸 토큰 값을 서버에서 검증하는 방식을 사용해 세션과 같이 서버 저장 자원을 사용하지 않는다. 그래서 하나의 웹 서버에서 사용자를 식별할 땐 세션을 사용하면 되지만, 프론트 엔드 서버와 API 서버를 별개로 둔 경우에는 토큰을 사용해 사용자를 식별하는 편이다. 세션으로 관리하면 서버의 자원이 2배로 사용되고 유연성이 떨어지기 때문에 토큰을 사용하는게 합리적이다. JWT의 구조는 각각 header.payload.signature로 이루어져있으며 각 데이터는 base64 인코딩 된 상태로 데이터를 송수신한다. header : payload를 어떤 방식으로 암호화하여 signature값을 생성할지..

전자금융기반시설 보안 취약점 평가 항목 중 '취약한 https 재협상 허용' 이라는 항목이 존재한다. https(SSL/TLS) 재협상이란 기존 보안 세션 내에서 다시 핸드쉐이크를 진행함으로써 새로운 세션을 맺는 것을 뜻한다. 진단 시 기준은 insecure client-initiated renegotiation(클라이언트의 안전하지않은 재협상)을 시도했을 때 재협상이 가능할 경우 취약, 안전하지 않은 재협상을 지원을 하지않아 재협상이 불가능할 경우 양호로 판단한다. 취약한 https 재협상 허용 항목을 접했을 때 '그래서 이게 왜, 이게 취약하면 뭔데' 라는 생각에 한번 찾아본 것을 정리한다. 1. CVE-2009-3555 = 재협상 중간자 공격 클라이언트의 안전하지 않은 재협상이 이루어질 경우, 서버..