All Posting

AWSSecworkshop을 해보니, AWS API Gateway를 이용한 Cognito 서비스 실습이 있다. 가장 베스트는 Cognito 서비스를 이용하는 것이 방법이겠지만, 무슨 이유에선지 Cognito APP Client ID가 unable 하다. 알람만 발생하고 그 다음 단계로 넘어갈 수 없어서 이론적인 부분에 대해서만 AWS API Gateway를 알아보기로 했다!! AWS API Gateway 란? 쉽게 말하면 API 흐름을 제어함으로써 인증/로깅 등에 대한 서비스를 제공해주는 AWS Managed Service이다. 가장 좋은? 타 서비스와의 차별점은 serverless 서비스라는 것이 특징이다. 보통 AWS Lambda 와 함께 이용하여 RESTFul API 서비스를 제공하는것에 많이 쓰인..

AWSSecworkshop IAM 두번째 workshop에서 AWS Congnito 내용이 나오기에, 미리 알아보자 - AWS Identity: Using Amazon Cognito for serverless consumer apps AWS Cognito란? - 쉽게 말하면 AWS 서비스를 외부 웹(Facebook, Apple 등)의 기타 서비스와 회원가입 또는 로그인을 연동하는 서비스이다. - NAC 기타 다른 보안솔루션이 User Login ID(Token)을 통해 사용자 로그인을 연동하는 것과 같은 개념이다. AWS Cognito는 크게 1)사용자 Pool 2) 자격 증명 Pool 2가지로 구성된다. 1) AWS Cognito 사용자 Pool이란? - 말 그대로 AWS에 로그인 또는 사용자 관리 할..

AWS IAM 사용자 계정 생성 방법 :: 평범한 직장인의 평범한 블로그 (tistory.com) AWS IAM 사용자 계정 생성 방법 AWS 계정을 처음 만들면, 루트(이하 Root) 사용자로 로그인을 하고 모든 서비스에 대한 읽기/수정 권한을 받는다. 개인이 사용하는 용도라면 Root 계정만 있어도 무방하겠지만, 기업에서 사용하는 dobby-isfree.tistory.com 위 게시물로 AWS에서 IAM 계정을 생성해보았다. 그러면 IAM 계정으로 로그인을 해보자!! 1. 로그인탭에서 IAM 사용자 선택 2. IAM 사용자 이름 입력하기 - 계정 ID는 Root ID를 입력하고, 사용자 이름 부분에 새로 성성한 IAM 사용자를 입력하면 된다. - 각 계정별로 사용자 이름이 중복될 수 있으므로, Roo..

AWS 계정을 처음 만들면, 루트(이하 Root) 사용자로 로그인을 하고 모든 서비스에 대한 읽기/수정 권한을 받는다. 개인이 사용하는 용도라면 Root 계정만 있어도 무방하겠지만, 기업에서 사용하는 경우는Root 계정만 가지고 모든 업무를 할 순 없다. 그리고 위에서 말했다시피, Root는 모든 서비스에 권한이 읽기 때문에 업무적으로 Root 계정을 사용하는 것은권장하지 않는 방법이다. AWS의 권장 방안은 각 업무 Role에 맞는 정책을 별도로 만들고, 각 사용자별 IAM 계정을 만들고 최소권한으로 권한을 부여하는 것이다. IAM 계정 생성 및 정책을 만드는 방법은 다음과 같다. 1. AWS Root 계정 로그인 및 IAM 서비스 선택 2. 액세스 관리 > 사용자에서 사용자 추가를 선택할 경우, 신규..

AWS의 Security Workshop 1번째 Access Delegation(권한 위임)에 대해서 알아보자. 직무분리와 최소권한의 원칙. ISMS 시험 등을 보면 많이 들어오는 단어이다. 그 뜻은 개발자 vs 운영자 등과 같이 가 직무를 분리하고, 각 직무마다 딱 필요한 권한만 부여하여 권한의 오남용을 사전에 예방하기 위함입니다. AWS는 서버 담당자가 확인해야 하는 서비스와 보안 담당자가 확인해야 하는 서비스 등이 서로 다르기때문에 각 사용자 그룹마다 서로 다른 서비스 허용 정책을 설정하는 것이 중요한 포인트이다. AWSSecWorkshop을 통해 하나씩/한단계씩 진행하는 것이 목표이다. - Workshop에 기재 된 내용을 따라가면서 내재화하고, 정리하는것이기에 일부 내용이 다를 수 있다. 시나리..

아래 내용은 2021년에 개정 된 OWASP TOP10의 내용이다. 이스트시큐리티에서 아주 잘 번역을 해놓았길래, 해당 블로그를 참고하도록 한다. - 출처 : 이스트시큐리티 2021 OWASP(2021 OWASP TOP10 (alyac.co.kr)) A01 : Broken Access Control (접근 권한 취약점) 엑세스 제어는 사용자가 권한을 벗어나 행동할 수 없도록 정책을 시행합니다. 만약 엑세스 제어가 취약하면 사용자는 주어진 권한을 벗어나 모든 데이터를 무단으로 열람, 수정 혹은 삭제 등의 행위로 이어질 수 있습니다. A02 : Cryptographic Failures (암호화 오류) Sensitive Data Exposure(민감 데이터 노출)의 명칭이 2021년 Cryptographic ..

오늘은 쿠키와 세션에 대해서 알아보도록 하자! 웹 진단을 하다보면 가장 많이 들어보는 말이 쿠키변조 또는 세션ID 추측이다. 하지만 쿠키와 세션이란 무엇일까? 오늘 한번 알아보자 먼저 쿠키와 세션을 알려면 HTTP의 특징부터 알아야한다!! HTTP(HyperText Transfer Protocol)란? 주로 HTML 문서를 통해 데이터를 주고 받는 형태를 뜻하며, 일반적으로 TCP 프로토콜을 사용한다. 클라이언트와 서버의 구조로 동작한다. 일반적으로 클라이언트라고 하면 사용자 브라우저를 뜻하고 서버는 클라이언트의 요청을 처리하는 웹/WAS 서버가 된다. HTTP의 가장 큰 약점은 비연결지향(Connectionless), 상태정보 처리 안함(Stateless)이다. 비연결지향(Connectionless)란..

웹이란? 웹은 인터넷의 하위 개념인 "WWW"를 말한다. 즉, HTML/이미지/영상 등과 같은 파일들을 인터넷을 통해서 서로 공유할 수 있는 시스템을 말한다. 일반 사람달은 인터넷과 웹은 혼용하여 사용하지만, 엄연히 따지면 웹은 인터넷의 하위 개념이다. 인터넷이 서로 다른 이기종간 시스템을 연결할 수 있는 시스템을 말하며, 서로 연결하는 방식중에 웹에 있는 것이다. 그렇다면 우리는 어떻게 내가 원하는 사이트를 들어갈 수 있는 것일까? 그답은 URL과 URI이다!! URL vs URI는 비슷해 보이지만, 엄연히 말하면 다른 뜻이다. URI는 Uniform Resource Identifier의 약자로 인터넷상의 웹 리소스에 대한 고유값이다. 그리고 URL은 Uniform Resource Locator로 인터..

최근에 우연히 지인을 통해서 AWS DNA 라는 프로그램을 알게되었습니다!!! AWS DNA란? 말 그대로 AWS에서 AWS를 활용하여 사고하고 문제해결하고 서비스하는 것을 도와주는 일종의 교육프로그램인듯하다. `21년도에 3회차에 접어들어 긴 기간동안 진행된 건 아니지만, 1,2회차의 후기를 보면 다들 아주아주 만족하는 후기를 볼 수 있었다. 나도 평소에 클라우드.. 클라우드 말만 많이 들었지. 그래서 클라우드가 뭔데?로 질문을 받으면 쉽게 답할 수가 없었고 내가 다니는 회사는.. 신문물과는 거리가 먼 금융권이기에... 클라우드를 배우고 싶기는 했다. (사실 요즘 코로나로 인해 약속도 없고.. 집 - 회사가 반복되기에 뭔가 다른걸 하고 싶었다) 그래서 AWS DNA 신청을 하고!! 세미나를 들어야 하는..