AOC55

Backend, Devops, Cloud, kubernetes

IT/IT Project Management 5

IT :: 개발 시 보안 관련하여 주의해야할 사항2 (시큐어코딩/Secure Coding)

사내 교육 시, 교육 받았던 내용에 대해서 간단히 정리한 내용임. > 주의사항 1편 접근 제어 및 권한 관리 부적절한 인증/인가 정의/원인 - 인증(신원 식별)과 인가(자원 권한 확인)가 제대로 진행되지 않아 발생하는 취약점 - 접근 불가능한 시스템 자원, 권한 없는 메뉴, 결제 금액 변조 등 수행 가능 대응방안 - ACL(Access Control List)을 이용하여 권한에 따라 적절한 기능 사용 - 서버측에서 권한 체크 - 파라미터 최소화 및 세션 활용 - 중요 정보는 암호화 - 최종 단계에서 인증 및 권한 체크 -(결제 금액 등은 클라이언트 사용된 값이 아닌 서버측 값을 사용, 클라이언트 값 사용하려면 서버측에서 크로즈 검증) 쿠키 및 세션 관리 정의/원인 - 세션ID를 탈취하여, 공격자가 해당 ..

IT :: 개발 시 보안 관련하여 주의해야할 사항1 (시큐어코딩/Secure Coding)

사내 교육 시, 교육 받았던 내용에 대해서 간단히 정리한 내용임. > 주의사항 2편 입력값 검증 부분 SQL Injection 정의/원인 - SQL문 Code Injection 기술로 악의적인 SQL문 주입하여 비정상적인 동작 유도 (ex OR 1=1) - 입력데이터에 대한 유효성 검증을 하지 않고 DB쿼리 일부로 사용하는 경우 대응방안 - 정적 쿼리를 사용하여, 쿼리문 구조 변경 방지 - 특수문자 및 키워드 필터링 처리 - 500 에러를 통한 오류정보 노출 방지 XSS 정의/원인 - 악의적인 스크립트가 웹사이트에 주입되어 공격하는 취약점 - 외부에서 입력된 값, 외부에서 입력된 정보를 갖고 있는 DB를 사용하여 동적페이지 생성 시 악의적인 스크립트를 응답의 일부로 사용하여 발생 1) Reflective..

IT용어 :: Dedi Sever(데디서버, Dedicated Server)

회사 정책상 업무 시 담당하고 있는 서비스의 서버가 VM과 Dedi로 나누어져 복합적으로 이루어져 있다. 여기서 속칭 "데디서버" 란 Dedicated Server -> 단독으로(전용으로) 쓰는 서버 -> 물리적 서버 1대가, 기능상으로도 서버 1대의 역할만 하는것임. 즉, ㅇ VM 서버는 물리적 서버 1대 위에서, 우리 서비스 말고도 다른 서비스들 서버도 VM을 통해서 같이 실행중 ㅇ Dedi 서버는 물리적 서버 1대 위에, 우리 서비스만 실행중 라고 생각하면 될 것 같다.

IT용어 :: WSDL(Web Services Description Language)

업무 시 다른 시스템과 연동을 위한 개발 진행 시 WSDL를 주고 받는 경우가 많다. WSDL이란? - 웹서비스가 제공하는 정보를 XML로 기술 - 웹서비스에 대한 구체적 내용이 들어있다 (서비스 제공장소, 메시지 포맷, 프로토콜 등등) - 주로 SOAP과 XML 결합 - 즉, WSDL을 해석하면 SOAP을 통해 해당 서비스 필요 객체를 실행할 수 있다.