♠개발자의 작은 서재♠

인증(Authentication)과 인가(Authorization)의 차이점인증과 인가는 모두 보안 시스템에서 중요한 개념으로, 사용자가 누구인지 확인하고 그들이 특정 자원에 접근할 수 있는 권한을 가졌는지 판단하는 과정입니다. 둘은 혼동하기 쉽지만, 역할과 목적이 완전히 다릅니다.1. 인증 (Authentication)정의인증은 사용자가 "누구인지 확인하는 과정"입니다.시스템은 사용자가 자신이 주장하는 본인인지 확인하기 위해 비밀번호, 인증 코드, 생체 정보 등을 요구합니다.목표신원 확인: 사용자가 시스템에 접근하기 전에 신원을 증명.웹사이트 로그인 시, 이메일과 비밀번호 입력.지문, 얼굴 인식 등 생체 인증.방식무엇을 알고 있는가? (What you know) 비밀번호, PIN 코드와 같은 지식 기반..

XSS (Cross-Site Scripting)와 CSRF (Cross-Site Request Forgery)XSS와 CSRF는 모두 웹 애플리케이션에서 발생하는 보안 취약점이지만, 공격 방식과 목표가 다릅니다.1. XSS (Cross-Site Scripting)정의XSS는 공격자가 웹 페이지에 악성 스크립트(JavaScript 등)를 삽입하여 다른 사용자의 브라우저에서 실행되도록 하는 공격입니다. 이를 통해 사용자의 세션, 쿠키, 또는 민감한 정보를 탈취하거나, 악성 코드 실행이 가능합니다.목표사용자 데이터를 탈취: 세션 쿠키, 로그인 정보 등.악성 코드 실행: 피해자의 브라우저에서 악성 동작 수행.웹 페이지 변조: 사용자에게 잘못된 정보 제공.유형Stored XSS: 악성 스크립트가 서버에 저장되어 ..

SSL/TLS의 역할과 동작 방식SSL(보안 소켓 계층, Secure Sockets Layer)과 TLS(전송 계층 보안, Transport Layer Security)는 인터넷 통신을 보호하는 프로토콜입니다. TLS는 SSL의 개선된 버전으로 현재 대부분의 시스템에서 사용됩니다. SSL/TLS는 웹사이트와 사용자 간 데이터를 안전하게 전송하는 데 사용됩니다.1. SSL/TLS의 역할데이터 암호화 (Encryption)사용자와 서버 간 전송되는 데이터를 암호화하여 외부에서 읽거나 수정하지 못하도록 보호.예시: HTTPS로 웹 브라우저와 서버 간 통신 암호화.인증 (Authentication)서버(웹사이트)가 신뢰할 수 있는 곳인지 사용자에게 보증.예시: 웹사이트의 인증서를 사용해 사용자가 악의적인 사이트..

1. 대칭키 암호화정의하나의 "공통된 키"를 사용하여 데이터를 암호화(Encrypt)하고 복호화(Decrypt)하는 방식입니다.암호화와 복호화 과정에서 같은 키를 사용하기 때문에 "대칭"이라고 부릅니다.특징속도: 암호화와 복호화 속도가 빠름.보안 문제: 키가 노출되면 데이터를 해독할 수 있으므로 키를 안전하게 공유해야 함.사용 사례: 대량의 데이터를 암호화하거나 파일을 보호할 때 사용.장단점장점단점암호화 속도가 빠름키 공유 과정에서 보안 문제 발생구현이 간단키를 안전하게 관리하기 어렵음대량 데이터 처리에 적합키를 여러 사람과 공유하기 어렵음예시 알고리즘AES (Advanced Encryption Standard): 현재 가장 많이 사용되는 안전한 대칭키 암호화 알고리즘.DES (Data Encryptio..

1. Confidentiality (기밀성)정의기밀성은 민감한 정보가 비인가자에게 노출되지 않도록 보호하는 것을 의미합니다. 이는 정보를 보호해, 승인된 사용자만이 정보에 접근할 수 있도록 보장합니다.중요성민감한 데이터(개인 정보, 금융 데이터 등)의 노출로 인해 발생할 수 있는 사생활 침해나 금전적 손실 방지.기업의 기밀 정보 유출로 인한 경쟁력 상실 방지.실제 사례위반 사례: 해커가 데이터베이스에 접근해 고객 정보를 탈취.적용 사례: 고객의 비밀번호는 해시된 형태로 저장하고, 데이터는 암호화하여 전송.기밀성을 유지하는 방법데이터 암호화데이터를 암호화하여 권한 없는 사용자가 읽을 수 없도록 보호.예: SSL/TLS로 웹 통신 암호화, 데이터베이스 암호화.암호화 알고리즘: AES, RSA, ECC.접근 ..