TechBlog

CSRF(Cross-Site Request Forgery)- 인증된 사용자의 의지와 무관하게 악의적인 요청이 서버에 전달되는 공격- 세션 인증 방식을 사용하는 서버에서 발생 공격 시나리오- 사용자가 로그인 된 세션을 유지하는 상태- 사용자가 같은 브라우저로 악성 코드가 심어진 사이트 방문 - 악성사이트에서 자동으로 POST요청을 보냄. 서버는 기존의 세션 쿠키로 인증된 요청이라고 믿고 실행Cross-Site-Request-Forgery가 필요한 이유- 세션 기반 로그인 인증 방식(Session + Cookie)에서는 브라우저가 자동으로 쿠키를 보내기 때문에 CSRF 위험이 있음.API서버 CSRF 비활성 이유API 서버에서는 서버는 세션 상태를 저장하지 않고 Stateless하게 동작하여, 컨테이너 기반..

양방향 암호화에는 두 가지 방식이 있다. 대칭키 암호화, 비대칭키 암호화대칭키 암호화는 암호화와 복호화할 때 같은 키를 사용하고 비대칭키 암호화에서는 일반적으로 공개키로 암호화하고 개인키로 복호화하지만, 디지털 서명에서는 **개인키로 서명(암호화)하고 공개키로 검증(복호화 유사)**하는 방식도 있다.그래서 대칭키 암호화 방식은 키 관리가 중요하다. 키 하나로 암호화 복호화가 가능하기 때문이다. (양방향)대표적인 양방향 암호화 방식은 AES128(Advanced Encryption Standard)이 있다.AES는 양방향, 대칭키 암호화 방식으로, 암호화와 복호화에 동일한 키를 사용한다. 복호화가 가능한 구조이기 때문에 키 관리가 매우 중요하다. AES 뒤의 128, 192, 256은 암호화에 사용하는 키..