방문해 주셔서 감사합니다! 항상 행복하세요! - 문의사항은 메일 또는 댓글로 언제든 연락주세요. - "해줘","답 내놔" 같은 질문은 답변드리지 않습니다. - 메일주소 : lts06069@naver.com CSRF3 Nestjs 프레임워크 서버(CSRF 방지, csurf) -10 # CSRF(csurf 모듈) 크로스 사이트 리퀘스트 변조(cross site request forgery, CSRF)는 사이트간 요청위조를 의미 합니다. 피해자의 권한으로 피해자 모르게 해커가 요청을 수행 하도록 만드는 것을 의미 합니다. 특히 "결재"와 관련된 웹 어플리케이션에서는 필수이며 가장 강력한 수준의 조치가 요구 됩니다. * 해커가 악성스크립트를 통하여 원치않는 결재, 결재정보노출 등을 할 수 있기 때문 입니다. nestjs에서도 이러한 문제를 방지하기 위해 csurf 모듈을 활용하여 기능 구현을 쉽게 할 수 있도록 해줍니다. fastify 모듈도 있지만..설명이나 사용법이 워낙 불친절하고, 제 취향이 아녔.. 원리와 개념은 간단 합니다. 클라이언트가 데이터를 변경하려는 페이지에 접근한 상태.. 2022. 8. 24. 19. 자동화 공격(AU) 자동화 공격 취약점은 웹에 대한 정보변경 시도 횟수 제한을 설정하지 않고 방치하면, 웹사이트를 다운시키거나 무차별 대입 공격으로 인해 사용자 계정을 탈취할 수 있거나, 데이터를 등록할 수 있는 취약점 입니다. 해커가 게시판에서 게시글 등록을 하는 경우, 아무런 제한이 없는 것을 확인하면 자동화 도구를 통해서 데이터를 몇십 몇백만건을 계속해서 넣는 그러한 공격을 예로 들 수 있겠습니다. #방법1 자동화 공격을 시도하면 짧은 시간에 다량의 패킷이 전송되므로 감지하고 방어할 수 있는 IDS(침입 탐지 시스템) / IPS(침입 방지 시스템) 형식의 서비스를 사용하면 좋습니다. 구글, 네이버 및 AWS같은 클라우드 서비스 같은 경우에 이러한 기능이 대부분 잘 적용이 되어 있지만, 일반적으로 구축된 서버에서는 이러.. 2021. 12. 9. 14. 크로스 사이트 리퀘스트 변조(CSRF) 크로스 사이트 리퀘스트 변조는 사이트간 요청위조를 의미 합니다. 피해자의 권한으로 피해자 모르게 해커가 요청을 수행 하도록 만드는 것을 의미 합니다. 웹 취약점에서 자주 언급되면서 반드시 조치가 되어야 합니다. 특히 "결재"와 관련된 웹 어플리케이션에서는 필수이며 가장 강력한 수준의 조치가 요구 됩니다. * 해커가 악성스크립트를 통하여 원치않는 결재, 결재정보노출 등을 할 수 있기 때문 입니다. #방법1 가장 첫번째 방지는 크로스 사이트 스크립팅(XS)이 되지 않도록 조치하는 것 입니다. 크로스 사이트 리퀘스트 변조(CSRF)도 결국엔 크로스 사이트 스크립팅(XS)을 통해 실행되는 취약점이기 때문 입니다. * 참고 : 크로스 사이트 스크립팅(XS) 대비 https://lts0606.tistory.com/.. 2021. 12. 6. 이전 1 다음
