>SQL Injection
>SQL Injection 시나리오
>SQL Injection 대응 방안
1. 입력(요청)값 검증
2. Prepared Statement
3. Error Message 노출 금지
>화이트 리스트
>XSS
>CSRF
: Cross Site Request Forgery
: 다른 사이트(cross-site)에서 유저가 보내는 요청(request)을 조작(forgery)하는 것
: 해커는 요청만 조작할 뿐, 직접 데이터를 접근할 수 없다. 따라서, 해커는 사용자에게 조작된 요청을 제공한다.
: ex) 이메일에 첨부된 링크를 누르면 내 은행계좌의 돈이 빠져나감
>CSRF 공격 조건
1. 로그인의 방식에 쿠키를 사용해야 한다.
: 쿠키로 어떤 유저인지 확인 가능해야하기 때문
2. 예측할 수 있는 요청/parameter를 가지고 있어야 한다.
: 해커가 request 정보를 모두 알아야 함.
>CSRF 대응 방법
1. CSRF 토큰 사용하기
2. Same-site cookie 사용하기
'코드스테이츠_국비교육 > [Section4]' 카테고리의 다른 글
| 62.02_[Spring Security] 로그인 인증_InMemory_22.11.18 (0) | 2022.11.21 |
|---|---|
| 62.01_[Spring Security] Spring Security 개요_22.11.18 (0) | 2022.11.21 |
| 61.03_[인증/보안] 기초_쿠키, 세션_22.11.17 (0) | 2022.11.17 |
| 61.02_[인증/보안] 기초_해싱_22.11.17 (0) | 2022.11.17 |
| 61.01_[인증/보안] 기초_HTTPS_22.11.17 (0) | 2022.11.17 |