[Security] OWASP Top 10 API Security 2023
·
Computer Science/Security
1. OWASP (Open Web Application Security Project) 📌 Introduction이 내용을 분명히 예전에 정리했었다고 생각했는데, 블로그를 아무리 찾아도 보이질 않았다.아마 한창 블로그 포스팅할 거리 쌓여있을 때, 리스트에 추가만 해놓고 잊어먹었던 거 같다. 여튼 링크드인 심심해서 뒤적거리다가 OWASP가 갱신될 거라는 뉴스를 접했는데, 'OWASP가 뭐더라...?'하고 멍 때리다가 검색해보니 예전에 이미 찾아봤던 내용이었다.그렇다..또 로스트 테크놀러지를 발굴해냈다.  요새 어째 예전보다 바보가 되어가는 느낌이지만, 내 머리에 칩 연결해서 DB 연결하기 전까지는 뭐..잊어먹을 때마다 다시 찾아보는 수밖에.그래도 잊어먹을 때마다 새롭게 공부하는 느낌이 즐겁긴 하다. 고려..
[Cryptography] 비대칭 키 암호화 (Asymmetric-Key Encipherment)
·
Computer Science/Security
📕 목차1. 비대칭 키 암호화2. RSA3. ECC: Elliptic Curve Cryptosystem1. 비대칭 키 암호화 📌 비대칭 키 암호화란개인 키와 공개 키 두 키를 한 쌍으로 암호키를 구성하는 방법개인 키(private key): 개인이 보관공개 키(public key): 타인에게 공개 (여러 사람이 볼 수 있음)응용 분야비밀 메시지: A의 공개 키로 암호화한 메시지는 A의 개인 키로만 풀 수 있음. (ex. HTTPS 통신)전자 서명: A의 공개 키로 복호화가 되면, A의 개인 키로 암호화한 것이라는 증거 (ex. JWT signature) 📌 대칭 키 vs 비대칭 키 대칭 키 암호화비대칭 키 암호화개념적 차이비밀을 두 사람이 서로 공유비밀을 공유하지 않고, 각자 비밀로 보존키 구성 차..
[Cryptography] 대칭 키 암호화 (Symmetric-Key Encipherment)
·
Computer Science/Security
정말 듣고 싶은 수업이었는데, 복전생이라고 여석 안 열어준 수업..🥲그래서 청강해도 되는지 여쭤봤었는데, 교수님께서 답을 안 주셔서 '이건 암묵적 허용이다'라는 정신 무장을 하고 들었었던 에피소드가 있다.진짜 재밌는 내용들이 많았는데, 다시 보니 기억이 가물가물해서 복습할 겸 정리. 📕 목차1. 보안 목표와 서비스2. 전통적인 대칭 키 암호화3. AES (Advanced Encryption Standard)1. 보안 목표와 서비스 📌 Security Goald1️⃣ 기밀성(Confidentiality)민감한 정보(sensitive information)가 외부에 노출되는 것을 막자 2️⃣ 무결성(Integrity)정보의 변경은 인가(authorized)된 자에 의해서 인가된 메커니즘을 통해서만 수행..
[Security] OAuth2.0 OpenID Connect nonce
·
Computer Science/Security
서비스에서 OAuth2.0 OIDC 프로토콜로 SSO 처리를 해두었는데, ID Token을 받을 때 nonce를 설정하는 것을 권장한다고 한다.그런데 설정 안 해도 동작하고, 해놔도 별다른 조치를 안 했음에도 동작한다. 나중에 안 사실이지만 nonce를 전혀 활용도 하고 있지 못하는 주제에 "ID Token에 nonce 필드 넣어놨으니 안전함~"이러고 있었던 것. 그래서 이 nonce란 어디서부터 시작한 거고, 어떻게 서버에서 다뤄줘야 하는 건지 정리해두려 한다.조만간 암호학 공부했던 내용도 포스팅 해야겠다..참고로 OIDC 정책이 뭔지는 이전 포스트에서 정리해두었으므로, 여기서 다시 다루진 않는다. 📌 시스템 간의 통신에서의 보안OAuth가 아니더라도 인터넷 환경에선 아래 보안 요구사항을 충족하는지 ..