라벨이 web보안인 게시물 표시

Proxy ( Forward proxy, Reverse proxy )와 Client-Proxy MitM(Man-in-the-middle)

Proxy = 대신/대리 네트워크에서 proxy는 client나 server를 대신하여/대리하여 요청을 전달한다. 물리적인 위치는 사용자의 컴퓨터일 수도 있고 사용자의 컴퓨터 - 목적지 중간의 한 지점일 수 있다. 왜 대신하는가? 캐싱 자주 요청되는 리소스 or 자주 변하지 않는 리소스의 경우 proxy 서버에 리소스를 저장할 수 있다. - (본 목적지까지 전달했던) network hop을 줄일 수 있다. - 리소스가 캐싱된 스토리지에 따라 더 빠른 응답 시간를 얻을 수 있다. 보안 내부망과 인터넷이 소통하는 지점인 게이트웨이로서 작동. 로그 물리적인 서버, 또는 로컬 컴퓨터에 쌓인 기록을 바탕으로 보안 정책을 구성할 수 있음. 우회 보안과 공통적인 면이 있다. 자신의 실제 IP가 아닌 프록시가 대신 요청을 수행하고 응답을 대신 받아서 본인에게로 전송해준다. 목적 리소스가 있는 컴퓨터에서는 프록시가 요청을 수행한 것으로 인식하고 프록시에게 응답을 돌려준다. Forward proxy 대 Reverse proxy Forward proxy(= gateway, proxy) 1. 클라이언트, 클라이언트 풀에서 나가는 요청 에 대한 제어 수행. 클라이언트는 요청의 출발지 주소를 프록시 주소로 대신 사용함으로서 클라이언트의 원 정보를 숨길 수 있으며 우회 기능을 사용할 수 있음. ex) Tor의 여러 프록시 서버 노드를 경유하는 proxy chaining 요청에 대한 들어오는 응답 에 대한 제어 또한 수행하며 클라이언트 풀의 각각의 클라이언트에게 응답을 돌려준다. 2. HTTP 터널링을 통한 암호화 프록시 서버가 클라이언트 대신 인터넷을 연결한다. TLS를 지원하는 웹 서버에 proxy 서버를 사용하여 연결한다. (http1.1부터 connect method로 TLS tunnel을 사용할 수 있음) connect method가 평문 형태의 http proxy를  ssl 암호화된 요청을 tcp/ip 터널로 전환한다. - client가 http proxy 서버에게 t...
댓글 쓰기
Read more »

IP 카메라 보안 위협 요소와 해킹 피해를 최소화하는 조치들

펌웨어 소프트웨어 결함 TP-LINK 2021년 3월경, TP-LINK TAPO C200 카메라의 펌웨어 버전 1.1.15에서 공격자들이 root권한으로 uhttpd 바이너리를 실행시킬 수 있는 결함을 발견함. 해당 결함은 공격자에게 카메라의 모든 기능을 원격 조작할 수 있는 권한을 줌. 2020년 7월경, Heartbleed 취약점 발견. 카메라의 API에 인가되지 않은 접근을 통해 API call로 카메라의 모터를 움직이거나, 외부 저장소의 데이터 삭제, 카메라의 Live 영상에 접근하기 위해 유저를 생성함. CACAGOO CACAGOO cloud 저장소 지능형 카메라 TV-288ZD-2MP의 펌웨어 3.4.2.0919는 패스워드 없이 RTSP 서비스에 접근할 수 있음. 동종 펌웨어 3.4.2.0919는 약한 TELNET 인증 방식을 뚫고 password 요구없이 루트 권한 기능을 쓸 수 있음. uhttpd 임베디드 시스템에서 주로 사용되는 경량 웹서버. http/https를 지원하면서 적은 메모리와 CPU 자원을 사용하기 때문에 IoT 제품이나 라우터 제품에 사용하기 적합하다. Nginx나 Apache보다 더 기능이 제한적이다. Heartbleed 취약점 버퍼 오버플로우 취약점이다. 사용자가 무작위 데이터를 담은 하트비트 패킷을 웹서버에 보낼 때 얼마만큼의 데이터를 보내는 것인지 명시한다.  서버는 패킷을 전송받은 후 정확히 같은 양의 데이터를 돌려보내면서  '사용자와 서버가 연결이 되어 있음'을 확인한다. 사용자의 컴퓨터가 얼마만큼의 데이터를 보냈는지 거짓으로 명시 할 경우 서버는 메모리에 저장된 다른 정보까지 끌어와 패킷을 채운 후 사용자에게 재전송해 준다. 해커는 이 결함을 이용해 반복적인 전송과 응답을 받는 과정에서 정보를 축적할 수 있게 되고 그 중에서 유의미한 자료를 건져내면  그걸 토대로 보안을 뚫는 것이 가능해진다. heartbleed 공격에 대한 조치 방법은 이스트소프트 알약 블로그에 잘 정리되어 있다. ...
댓글 쓰기
Read more »

CSRF와 django의 csrf middleware에 대하여

CSRF CSRF(Cross Site Request Forgery), 사이트 간 요청 위조 사용자의 의지와 무관하게 공격자가 사용자로 하여금 특정 웹사이트에 공격자가 의도한 행위를 요청하게 하는 공격. CSRF가 요청을 위조하는 방법 참여자들 일반 사용자/ 공격자 / 타겟 서버 전제 상태 1. 사용자는 서버에 성공적으로 로그인을 하여 서버는 사용자를 확인할 수 있는 문자열을 포함하여 사용자에게 응답한 상태이고 2. 서버 영역에서는 세션 정보가 생성된 상태. 3. 사용자는 정상적인 응답을 받았으므로 session ID가 사용자의 브라우저 쿠키 영역에 저장됨. 이 때, 공격자가 서버를 공격하기 위한 요청 패턴에 대해 미리 알고 있다면 필요한 정보는 사용자 브라우저의 쿠키 영역에 저장된 session ID 뿐임. 이것을 헤더에 실어서 임의를 패킷을 만드는 것은 쉬운 일. 공격자는 어떻게 쿠키 영역의 정보를 탈취할까? 쿠키 영역 정보 탈취 1. 공격자는 악성 스크립트 페이지를 누르도록 유도한다. 서버가 직접적으로 해킹당하지 않았더라도 정상적인 게시글에 악성 스크립트를 실행시키는 클릭 유도 낚시 링크를 달면 유저가 클릭하게 되고 유저의 정보가 악성 스크립트가 의도대로 행동하게된다. 2. 서버는 쿠키에 담긴 session ID를 해석해서 정상적인 요청이라고 인지한다.(사용자의 session ID는 훼손된 것이 아니므로) 3. 서버는 인가된 사용자임을 인지하고 요청을 처리한다.    (하지만 정상 사용자는 이 요청을 의도하고 보내지 않았다.) CSRF 방어법 사용자 의심되는 URL, 신뢰할 수 없는 사이트의 URL, 출처가 명확하지 않은 곳으로부터 온 메일의 URL 등을 클릭하지 않도록 한다. 서버 개발자/운영자 - CSRF토큰 검사   세션에 임의의 값을 저장한 뒤 사용자에게 return하여,   모든 요청마다 해당 값이 있는지 검사함. - Header의 referer 필드 값 검사   referer 필드는 현재 요청을 보낸 ...
댓글 쓰기
Read more »

이 블로그의 인기 게시물

실무진 면접 경험으로 정리하는 백엔드 (1) : 에듀 테크 기업 면접

에듀 테크 기술 면접 시간 내어 이력서를 꼼꼼하게 봐주시고 서류상으로는 회사에서 원하는 background라고 생각해주셔서 느낌이 좋았다. 최근 본 면접들 중 가장 깊이있는 질문을 해주셨고 오답과 대안에 대한 설명도 해주셔서 배워갈 수 있었다. 아쉽게도 합격하지 못했지만 좋은 면접 경험이었기 때문에 다음 면접에서 더 견고한 답변을 위해 정리해보았다. 질문&답변&더 나은 답변 일반 질문 이직 사유? 경영상의 이유로 인한 권고사직, 프로덕트 개발과 프로덕트 피벗 과정의 공백기 회사의 이 직군에 지원하면서 뭘 기대하는지? 거의 혼자서 개발을 해왔는데 다른 관점의 의견을 들을 기회가 없었다. 여러 개발자의 의견을 듣고 내 의견에 태클을 걸며 같이 발전하면 좋겠다. 공백기에 뭐하고 있는지 ?  1. django template과 admin, 그리고 오픈소스 wysiwyg를 사용하여 블로깅 서비스 사이드 프로젝트하면서 풀스택 공부중이다. 2. 현업에서 줄곧 이미 구축된 ci/cd를 사용해오고있었는데 직접 구현을 학습하기 위해 github action workflow를 공부하고 있음.  기술&개발 관련 관리형 서비스를 쓰지 않고 aws ec2를 쓴 이유 ? - 비용문제 vpc 어떻게 설정했나? - production region은 모든 ip에 대해서 열고   development region은 사무실 개발 pc와 사무실 기기들의 ip만 접근가능하도록 함 nginx ssl 적용했다고 하는데, 인증서 뭐 사용했나? - 'let's encrypt'사용했는데 생각이 안나서 대답못함. socketio에는 wsgi or asgi? - wsgi vs asgi 차이점에 대해서 답변함. django vs fast api ? - 동기, 비동기 서버 기반과 기타 feature에 대해서 답변함. - django에서 기본 제공되는 템플릿, admin,ORM과 미들웨어들 - fastapi는 기타 기능들을 따로 붙여서 써야한다고 답변, django도 ...
Read more »

노마드코더 개발자북클럽 Clean code 완주, 독후감

이미지
짧은 기간 동안 Java로 쓰여진 클린 코드 책을 읽으며 코드를 짤 때 더 정성을 들여 쓰는 습관을 들였다. 당장 작동하는 코드보다는 유지 보수가 편한, 수정보다는 확장을 할 수 있는, 잘 읽히는, 정직하고, 하나의 일에 몰두하는 그런 코드를 짜려고 했다. 퇴근을 하고 책상 앞에 앉으면 오늘 작성했던 class가 아른거리고 과연 이게 최선이었을까 생각하게 되었다. ========================================================== 책을 읽으면서 대부분 공감하고 고개를 끄덕일 수 있었지만 좋은 코드를 쓰는 법을 아는 것과 좋은 코드를 쓰는 것에는 큰 차이가 있다. 좋은 코드를 쓰는 법을 알기만 해서는 그저 말로만 잘난 체 할 수 밖에 없을 것이다. 좋은 코드를 쓰는 사람은 코드 리뷰를 하며 시스템 변경에 유연한 구조인지 고민한다. 확실히 후자가 더 고된 작업이지만 견고한 프로덕트를 만드는, 실체가 있는 실력이 는다고 생각한다. ========================================================== Java기 반의 코드를 이해하기는 쉽지 않았지만 확실히, Java가 객체 지향적인 장치가 많다고 느꼈다. Python 웹 개발자라면 당장 객체지향 원칙이나 디자인 패턴을 익히기 보다는 웹 애플리케이션 프레임워크를 익히기를 추천한다. 그 중에서도, FastAPI를 추천하는데 Layer와 Depends를 사용한 설계 장치를 사용하며 실전 감각을 기르면서 객체지향적인 사고를 할 수 있다. 혼자 상향식으로 배우기 버겁다면 Framework의 규칙을 따르며 배워나가는 것이 효율적이라고 생각한다. 그리고 이렇게 해야 실전 감각을 느낄 수 있다. ========================================================== 클린 코드 북클럽 챌린지 덕분에 오늘도 나는 하나의 괴이한 모듈을 처리했다. util 패키지의 fileutil이라는 모듈인데 온갖 잡다한 파일 처리를 다 도맡아 하...
Read more »

Blogger 커스터마이징 : CSS 수정 (sticky-header)

이미지
sticky-header, centered-top-container sticky animating 삽질1 google blogger의 템플릿 테마중 하나인 Contempo에서는  스크롤을 어느 정도 내린 상태에서 다시 올리면 상단의 검색창이 내려와서 스크롤을 다시 내릴 때까지 유지된다. (이 "어느 정도"에 해당하는 값은  기본 테마의 javascript에 코딩 되어있을 것으로 추측한다.) css 수정 후 이 부분에 문제가 생겨서 내릴때에도 올릴 때에도 계속 검색창이 내려오고 사라졌다를 반복한다. < 페이지 최하단 모습 > 데이터를 색인하여 찾을 때는 유용한 기능이라고 생각하지만 검색 기능은 이미 블로그 최상단에 존재한다. 따라서 해당 기능을 제거하기로 했다. scroll event를 감지하고 그에 따라 html이나 css문서를 수정하는 작업은  javascript가하는 일이다. html 편집기를 통해 코드를 살펴본 결과 이 javascript 코드는 외부 cdn 서버에서 가져오는 것 같다.  javascript 코드를 직접 건드려야되나 싶어서 구글링 해 본 결과 간단하게 css 코드를 수정해서 없앨 수 있었다. sol) sticky-header 제거 https://joshua-dev-story.blogspot.com/2020/04/blogger-remove-sticky-header.html FE, Publishing 에서는 '고정 헤더'라고 부르고 있는 이 태그의 css를 수정하면 된다. display 옵션을 none으로 바꿔서 기존 요소의 block을 전부 없애고 기능까지 해제해버리는 것. 이 sticky header를 보이지 않게하는 방법은 opacity를 0으로 만들거나 visibility를 hidden으로 할 수도 있지만 display : none 옵션이 가장 확실해보인다. 수정 후 여전히 scroll 이벤트에 따라 DOM의 변경이 일어나는 것 같지만 sticky header는 더이상 보이지 않는다. 삽질2...
Read more »