본문 바로가기

전체 글

(2)
안전한 사용자 인증은 어떻게 만들어지는가 거의 모든 서비스는 사용자 인증 기능을 갖는다. 주의. 당연히 사람마다 역량이, 환경마다 차이가 있을 수 있음을 인지하고 있으며 이 글은 극단적인 예시를 포함하고 있다. 서비스라는 게 사용자에게 제공하는 어떤 편리한 기능적인 역할을 해야 하니 따지고 보면 당연할 수 있다. (계산기 같은 편리함을 말하는 것이 아니라 고객이 처리할 일을 대신해주는 어떤 그런 서비스 정도를 생각했다.) 하지만 정책, 혹은 기술적인 보안 요소를 완전히 이해하지 못하고 사용자 정보를 저장하는 케이스들이 생각 외로 많이 발생한다. 우리나라의 경우 다양한 정부 관련, 혹은 연구 기관에서 안전한 보안 환경을 위한 정책적 연구를 수행하고 그에 따른 권고안을 제시한다. 개인정보 보호 관련 정책에서 볼 수 있듯 비밀번호의 경우 단방향 암호..
Reflected XSS는 더 이상 유효하지 않은가 일반적으로 XSS는 다양한 웹 취약점들 중 높지 않은 수준으로 분류된다. 주의. 현재 Chrome이나 Edge등 메이저 브라우저들은 Reflected XSS 필터에 많은 우회방법이 있다는 점 때문에 XSS Auditor를 deprecate했다. ( 이 취약점을 제보했을 당시 정상동작 했던 Chrome XSS Auditor를 포함하는 내용이다. ) ( https://www.chromium.org/developers/design-documents/xss-auditor ) 그중 Reflected XSS는 브라우저의 보호 기법 등으로 인해 더 이상 진짜 역사 속으로 들어간 취약점으로 취급되어 일반적으로 공격자들이 사용하지 않기도 하는 데다가 버그 바운티 측면에서도 보통 "사파리에서는 유효한 공격이다!" 정도로 ..