[웹 보안]CORS(Cross Origin Resource Sharing, 교차 출처 자원 공유)
최근 빗썸 Open API를 이용하여 가상화폐에 대한 데이터를 가져오려고 하고 있다. "https://api.bithumb.com/public/ticker/all_KRW" url을 get으로 요청을 보냈는데 아래와 같은 오류를 만났다. CORS정책에 의해 block이 되었다고 하며, request의 credentials mode가 include 일 경우 'Access-Control-Allow-Origin' header는 wildcard('*')가 되면 안된다는 오류 내용이다. 사실 CORS 문제는 이전에도 부딪친 적이 있다. 개인 프로젝트로 구축한 nest서버와 react application간 통신을 할때 CORS문제를 마주한 적이 있었다. https://docs.nestjs.com/security/c..
1. XSS 공격이란? - 웹 사이트 관리자가 아닌 user(공격자)가 웹 페이지에 client측에 script를 삽입하여 다른 user가 이를 실행하도록 허용하는 취약점이다. - 여러 사용자가 공유하여 이용하는 전자게시판 형태의 Web Application이 사이트간 scripting 취약점을 가질경우 공격대상이 되기 쉽다. - 게시판이 아니더라도 User가 입력한 값이 DB에 저장이 되고 저장된 Data가 그대로 Client에 보여주는 사이트는 공격이 성공할 가능성이 크다. - 공격 대상 웹사이트에 삽입한 script를 이용하여 다른 웹사이트에 접근하도록 하는것도 가능하여 '사이트간 스크립팅'(Cross-Site-Scripting)이라고 한다. 2. XSS 공격의 종류 • 반사형 XSS 공격 (Ref..
SQL Injection이란 공격자가 임의의 SQL을 주입하여 DB의 동작을 제어하고 Data를 탈취하는 공격이다. 웹 사이트의 보안상 허접을 이용하여 특정 SQL Query를 전송하여 Data를 탈취한다. Parameter를 이용하여 Query를 재구성 하여 악의적인 의도를 갖는 구문을 삽입하여, 공격자가 원하는 동작을 하도록 한다. 대부분 Client가 입력한 데이터를 제대로 필터링 하지 못할 경우에 발생한다. 공격 난이도가 쉬운편이고 피해가 클수 있다. DB를 사용하는 모든 Programming Language에서 일어날 수 있다. 예를들어 로그인 과정에서 SQL 인젝션 공격을 한다고 가정해보자. 일반적인 유저라면 ID, PW를 각각 입력하여 로그인을 할 것이다. 이때 동작하는 Query문은 [ S..