Security (총 23개) 썸네일형 리스트형 Security - 안전한 패스워드 저장방법(단방향 해시함수란?) 안전한 패스워드 저장 안전한 패스워드 저장방법에 대해 알아보도록 하겠습니다. (이글은 https://d2.naver.com/helloworld/318732 를 참조하여 작성되었습니다.) 단방향 해시함수란 ?단순 plain/text암호화된 text서버에서 사용자의 암호를 저장하는 방법은 위와 같습니다. 서버에 암호를 단순 plain/text로 저장하는 것은 매우 위험한 행위 입니다. database가 노출된다면, 사용자의 모든 계정의 비밀번호가 노출되는것이기 때문입니다. 따라서 보통의 경우 패스워드를 암호화하여 저장합니다. 이때 주로 단방향 해시함수를 이용해, 패스워드를 암호화 합니다. 단방향 해시함수란, 말그대로 해시함수로 암호화는 가능하지만, 반대로 해독이 불가능한 해시함수를 의.. Security - 해시함수란? 암호화함수와의 차이? 해시함수란?- 임의의 길이의 문자열을 입력받아 고정된 길이의 해시값을 출력하는 함수이다 암호화 알고리즘과의 차이- 암호 알고리즘에는 키가 사용되지만 해시함수는 키를 사용하지 않으므로 같은 입력에 대해서 항상 같은 출력이 나오게된다 해시함수의 목적- 메시지의 오류나 변조를 탐지할 수 있는 무결성을 제공 암호화 해시함수란?- 해시 값으로부터 원래의 입력값과의 관계를 찾기 어려운 경우를 의미 특징1) 역상 저항성- 주어진 해시값에 대해 해시값을 생성하는 입력값을 찾는것이 계산상 어렵다 2) 제2 역상 저항성 3) 충동 저항성- 같은 해시 값을 생성하는 두 개의 입력값을 찾는 것이 어려워야 한다- 즉 해시 충돌에대해 안전해야 한다 종류1) MD5 2) SHA Security - 단방향 암호화와 양방향 암호 단방향 암호화와 양방향 암호화1. 단방향 암호화- 평문을 암호문으로 암호화 하는것은 가능하지만 암호문을 평문으로 복호화하는 것은 불가능한 암호화 방법 이러한 암호화 방식이 필요가 없다고 생각할 수 있지만 복호화가 필요없는 경우의 암호화 방식이 더 유용한 경우가 있다 이러한 경우가 바로 "패스워드"이다 패스워드를 단방향 암호화 방식으로 저장하는 경우 패스워드 DB가 털릴 경우에도 안전할 수 있다 또 패스워드를 검증할 때에는 사용자로부터 입력받은 암호를 똑같은 방식으로 암호화 하여 암호화된 패스워드 끼리 비교를하면 되기 때문이다 단방향 암호화 종류- 암호학적 해시 함수가 이에 해당한다1) MD5 - 현재는 안전하지 않으므로 사용하지 않는다 2) SHA1계열- 역시 안전하지 않다 3) SHA2계열(SHA256.. Security - 대칭키(비밀키:private key) 와 비대칭키(공개키:public key) 암호화 대칭키(비밀키)와 비대칭키(공개키)1. 대칭키(비밀키)- 송신자와 수신자가 같은 키로 암호화와 복호화를 진행한다 - 하나의 키로 암호화 하고 그와 같은 키로 복호화를 진행하기 때문에 대칭키라고한다 또한 이 키는 외부에 노출되어서는 안되므로 비밀키라고도 한다 - 대칭키의 경우 현관문을 생각하면 된다 하나의 같은 열쇠로 집문을 열고 닫는것과 해당 열쇠는 외부인에게 주어져서는 안됨 대칭키(비밀키) 암호화 종류1) DES 2) AES 2. 비대칭키(공개키(public key)) - 송신자는 외부에 공개된 키(Public Key)로 암호화하여 송신하고 수신자는 개인키(Private Key)로 복호화 한다 - 송신자와 수신자가 사용하는 키가 다르므로 비대칭키라고 한다 비대칭키(공개키) 암호화 종류 1) RSA 2).. 보안 - Bypasses Double Encoding Attacks(이중인코딩을 이용한 우회 공격) Bypasses Double Encoding Attacks(이중인코딩을 이용한 우회 공격)- 보안 컨트롤을 우회하거나 응용 프로그램에서 예기치 않은 동작을 일으키기 위해 사용자 요청 매개 변수를 16 진수 형식으로 두 번 인코딩하는 것으로 구성됩니다. 웹 서버가 많은 인코딩 된 형식으로 클라이언트 요청을 받아들이고 처리하기 때문에 가능합니다.이중 인코딩을 사용하면 사용자 입력을 한 번만 디코딩하는 보안 필터를 무시할 수 있습니다. 두 번째 디코딩 프로세스는 인코딩 된 데이터를 제대로 처리하지만 해당 보안 검사가없는 백엔드 플랫폼에서 실행됩니다.공격자는 경로 이름이나 쿼리 문자열에 이중 인코딩을 삽입하여 웹 응용 프로그램에서 사용중인 인증 스키마와 보안 필터를 우회 할 수 있습니다. 웹보안 - HTML injection GET, POST 보호되어 있는 글입니다. 2018. 12. 17. 10:09 웹보안 - CSRF 보호되어 있는 글입니다. 2018. 12. 14. 10:13 웹보안 - 원격 파일 인클루젼 보호되어 있는 글입니다. 2018. 12. 13. 12:01 이전 1 2 3 다음