![]()
AWS 계정을 처음 만들면, 루트(이하 Root) 사용자로 로그인을 하고 모든 서비스에 대한 읽기/수정 권한을 받는다. 개인이 사용하는 용도라면 Root 계정만 있어도 무방하겠지만, 기업에서 사용하는 경우는Root 계정만 가지고 모든 업무를 할 순 없다. 그리고 위에서 말했다시피, Root는 모든 서비스에 권한이 읽기 때문에 업무적으로 Root 계정을 사용하는 것은권장하지 않는 방법이다. AWS의 권장 방안은 각 업무 Role에 맞는 정책을 별도로 만들고, 각 사용자별 IAM 계정을 만들고 최소권한으로 권한을 부여하는 것이다. IAM 계정 생성 및 정책을 만드는 방법은 다음과 같다. 1. AWS Root 계정 로그인 및 IAM 서비스 선택 2. 액세스 관리 > 사용자에서 사용자 추가를 선택할 경우, 신규..
![]()
AWS의 Security Workshop 1번째 Access Delegation(권한 위임)에 대해서 알아보자. 직무분리와 최소권한의 원칙. ISMS 시험 등을 보면 많이 들어오는 단어이다. 그 뜻은 개발자 vs 운영자 등과 같이 가 직무를 분리하고, 각 직무마다 딱 필요한 권한만 부여하여 권한의 오남용을 사전에 예방하기 위함입니다. AWS는 서버 담당자가 확인해야 하는 서비스와 보안 담당자가 확인해야 하는 서비스 등이 서로 다르기때문에 각 사용자 그룹마다 서로 다른 서비스 허용 정책을 설정하는 것이 중요한 포인트이다. AWSSecWorkshop을 통해 하나씩/한단계씩 진행하는 것이 목표이다. - Workshop에 기재 된 내용을 따라가면서 내재화하고, 정리하는것이기에 일부 내용이 다를 수 있다. 시나리..
![]()
아래 내용은 2021년에 개정 된 OWASP TOP10의 내용이다. 이스트시큐리티에서 아주 잘 번역을 해놓았길래, 해당 블로그를 참고하도록 한다. - 출처 : 이스트시큐리티 2021 OWASP(2021 OWASP TOP10 (alyac.co.kr)) A01 : Broken Access Control (접근 권한 취약점) 엑세스 제어는 사용자가 권한을 벗어나 행동할 수 없도록 정책을 시행합니다. 만약 엑세스 제어가 취약하면 사용자는 주어진 권한을 벗어나 모든 데이터를 무단으로 열람, 수정 혹은 삭제 등의 행위로 이어질 수 있습니다. A02 : Cryptographic Failures (암호화 오류) Sensitive Data Exposure(민감 데이터 노출)의 명칭이 2021년 Cryptographic ..
오늘은 쿠키와 세션에 대해서 알아보도록 하자! 웹 진단을 하다보면 가장 많이 들어보는 말이 쿠키변조 또는 세션ID 추측이다. 하지만 쿠키와 세션이란 무엇일까? 오늘 한번 알아보자 먼저 쿠키와 세션을 알려면 HTTP의 특징부터 알아야한다!! HTTP(HyperText Transfer Protocol)란? 주로 HTML 문서를 통해 데이터를 주고 받는 형태를 뜻하며, 일반적으로 TCP 프로토콜을 사용한다. 클라이언트와 서버의 구조로 동작한다. 일반적으로 클라이언트라고 하면 사용자 브라우저를 뜻하고 서버는 클라이언트의 요청을 처리하는 웹/WAS 서버가 된다. HTTP의 가장 큰 약점은 비연결지향(Connectionless), 상태정보 처리 안함(Stateless)이다. 비연결지향(Connectionless)란..
![]()
웹이란? 웹은 인터넷의 하위 개념인 "WWW"를 말한다. 즉, HTML/이미지/영상 등과 같은 파일들을 인터넷을 통해서 서로 공유할 수 있는 시스템을 말한다. 일반 사람달은 인터넷과 웹은 혼용하여 사용하지만, 엄연히 따지면 웹은 인터넷의 하위 개념이다. 인터넷이 서로 다른 이기종간 시스템을 연결할 수 있는 시스템을 말하며, 서로 연결하는 방식중에 웹에 있는 것이다. 그렇다면 우리는 어떻게 내가 원하는 사이트를 들어갈 수 있는 것일까? 그답은 URL과 URI이다!! URL vs URI는 비슷해 보이지만, 엄연히 말하면 다른 뜻이다. URI는 Uniform Resource Identifier의 약자로 인터넷상의 웹 리소스에 대한 고유값이다. 그리고 URL은 Uniform Resource Locator로 인터..
