목록Concept Study/Web (9)

Dyrandy

JWT, Local and Session Storage Concepts

JWT, Local & Session Storage Intro 앞 선 글에서, OAuth 2.0에 대해 살펴보았다. OAuth 2.0은 인가를 위임해주기 위해 나타난 Framework고 인증이라는 추가 기능을 지원하기 위해, OpenID Connect가 OAuth 2.0에 추가되었음을 살펴보았다. 그리고 이 인증을 위해 사용되는 토큰이 바로 JWT라는 것을 보았다. 그러면 JWT가 무엇이고, Session과는 무엇이 다르고, 어디에 저장되는지 살펴보겠다. What is a JWT, Json Web Token Basics JWT는 Json Web Token의 축약어다. 이름에서 알 수 있듯이 Json형식으로 만들어진 Web Token이다. JWT는 OAuth 2.0에서 ID Token으로 사용되며, OAu..
Concept Study/Web 2021. 10. 4. 12:01
OAuth 2.0 Fundamental Concepts and History (OAuth 2.0 기초)

OAuth 2.0 Dyrandy Intro OAuth 2.0에 대하여 인터넷을 검색하고 글을 읽다보면 조금씩 용어들과 개념이 다르다는 것을 알 수 있다. 그만큼 OAuth는 굉장히 어려운 개념이고, 그 활용도가 고정되어 있지 않다. OAuth에 관하여 Youtube를 보다, 정말 유용하고, 개념과 용어들을 정말 쉽게 잘 풀어서 설명해주는 강의가 있어, 이 강의를 번역하여 공유하고자 한다. https://www.youtube.com/watch?v=996OiexHze0&ab_channel=OktaDev 또한 이 자료와 함께 다른 사이트도 참조하면서 알게된 내용들을 추가하였다. Abstract 웹의 발전으로 많은 웹 페이지가 늘어남에 따라, 다양한 인증 및 인가 방식이 만들어 졌다. OAuth를 흔히들 '인증..
Concept Study/Web 2021. 10. 4. 11:54
HTTP Request Smuggling

HTTP Request Smuggling Dyrandy Introduction 'HTTP Request Smuggling' 또는 'HTTP Desync Attack'이라고 알려진 이 공격은 2019년 BlackHat Conference에서 James Kettle이라는 Burp Suite 연구원이 기존에 있던(2005년에 WatchFire에 의해 발표되었으나 큰 조명을 받지 못했다) 공격 방법이자 실제 리얼월드에서 사용할 수 없는 공격이라고 알려진 "HTTP Request Smuggling" 공격에 대해 발표를 했다. https://www.youtube.com/watch?v=_A04msdplXs&ab_channel=BlackHat 해당 공격에 대한 반응은 당시에 매우 뜨거웠으며 이 공격을 이용한 다수(20..
Concept Study/Web 2021. 7. 30. 11:12
SOP, CORS, CSP 개념과 우회방법(Concept & Bypass)

Security Policy (SOP, CORS, CSP) Dyrandy Same-Origin Policy (SOP) What is SOP (Same Origin Policy)? 한국말로는 일명 '동일 기원 정책' 혹은 '동일 출처 정책'이다. SOP는 간단히 말하자면 다른 기원에서 온 자원을 제한하는 정책이다. 현대 브라우저에서 지원하는 하나의 기능으로서 Javascript, Documents, Media, 등을 하나의 Origin에서 다른 Origin으로 통신을 하지 못하게 막는 정책이다. 이를 막고 있는 이유는 보안상의 이슈로 CSRF같은 요청이 난무 하지 않도록 하기 위해서다. (CST같은 취약점도 막는다) 좀 더 쉽게 표현하자면. 브라우저에서 동작하는 한 프로그램은 자기 자신과 같은 Origin..
Concept Study/Web 2020. 3. 2. 20:10
Subdomain Takeover 개념과 찾기(Concepts and Finding)

Subdomain? 서브도메인이란 원래 도메인에서 파생된 일종의 자식 도메인들을 지칭한다. https://example.com 이란 주소가 있다고 가정해보자. 그럼 이 example.com의 자식 도메인들 즉, 서브도메인으로는 test.example.com, asd.example.com, m.example.com, www.example.com, 등 다양하게 있을 수 있다. Subdomain Takeover? 서브도메인 테이크오버(subdomain takeover)은 바로 이런 서브도메인들을 노려 공격을 하는 것이다. 기업마다 서브도메인을 만들어 관리하는 경우가 비일비제하다. 특히 요즘 클라우드 환경이 늘어남으로써 이런 서브도메인들이 많이 늘어났다. 그리고 요즘 이런 subdomain takeover을 이..
Concept Study/Web 2019. 12. 8. 17:35
SQL Injection (Blind + time based) 공부

보호되어 있는 글입니다.
Concept Study/Web 2017. 10. 3. 22:10
SQL Injection filtering bypass(우회) 공부

보호되어 있는 글입니다.
Concept Study/Web 2017. 10. 2. 20:13
LFI / RFI와 WebShell 공부

보호되어 있는 글입니다.
Concept Study/Web 2017. 8. 12. 22:50
Prev 1 2 Next