Knowledge (18) 썸네일형 리스트형 [Knowledge] Active Directory(AD) 들어가기 전Active Directory(AD)와 도메인 컨트롤러(DC) 그리고 AD(Active Directory) 환경에서 조직 전체의 사용자 계정을 확인할 수 있는 명령어에 대해서 알아보자1. Active Directory(AD)란?마이크로소프트가 만든 조직용 계정/자원 관리 시스템회사·학교 같은 곳에서 사람, 컴퓨터, 프린터, 네트워크 자원을 한 곳에서 통합 관리할 수 있도록 도와줌AD를 운영하는 서버를 도메인 컨트롤러(DC) 라고 부름Active Directory의 데이터베이스 파일이 저장되는 기본 위치는, 도메인 컨트롤러(DC) 의 C:\Winodws\NTDS라는 폴더에 저장됨1.1. AD에서 하는 일1) 계정 관리직원(사용자) 계정 생성/삭제비밀번호 정책(예: 90일 마다 변경, 복잡성 규.. [Knowledge] 쿠키(Cookie)와 세션(Session) Introduction클라이언트의 상태 정보를 유지하기 위한 별도의 기술이 필요한데 이를 해결하기 위한 대표적인 방식이 바로 쿠키와 세션이다.두 기술 모두 클라이언트 식별 및 상태 유지를 위한 수단이지만, 저장 위치와 보안성, 용도에 따라 차이가 존재한다.이 글에서는 쿠키와 세션의 구조, 차이점, 보안 관점에서의 고려사항까지 함께 살펴보자쿠키(Cookie) VS 세션(Session)1. 쿠키(cookie)란?클라이언트(브라우저)에 상태 정보를 저장하는 방식이다. 쿠키는 사용자들이 웹 사이트를 편리하게 이용할 수 있도록 하기 위한 목적으로 만들어졌으며, 사용자가 인터넷 웹 사이트에 방문할 때 생기는 4KB 이하의 파일을 말한다. 쿠키에는 사용자와 웹 사이트를 연결해 주는 정보가 담겨져 있기 때문에 나중에 .. [Knowledge] 캐시(Cache)와 캐싱(Caching) Introduction현대의 컴퓨터 시스템이나 웹 서비스에서는 속도와 성능이 핵심이다. 사용자가 웹사이트를 클릭했을 때 페이지가 빠르게 뜨고, 서버가 반복된 요청을 효율적으로 처리하기 위해서는 데이터를 얼마나 효율적으로 저장하고 불러오는지가 매우 중요하다.이때 등장하는 개념이 바로 캐시(Cache)와 캐싱(Caching)이다. 두 용어는 비슷하게 들리지만, 엄연히 다른 의미를 가지고 있다. 실무에서 혼용되는 경우도 많지만, 정확히 구분하고 이해하는 것이 중요하다.때문에 이 글에서는 캐시와 캐싱의 차이점에 대해 함께 살펴보자Cache VS Caching1. 캐시(cache)란?캐시는 자주 사용하는 데이터를 빠르게 불러오기 위해 임시로 저장해두는 저장소 또는 데이터 자체를 의미한다. 예시:웹 브라우저의 캐시.. [Knowledge] Basic 인증과 Bearer 인증 Introduction웹 사이트나 앱에서 로그인하고 서비스를 이용할 수 있는 이유는 바로 인증(Authentication) 덕분이다.하지만 인증 방식에도 여러 종류가 있는데, 그중에서도 Basic 인증과 Bearer 인증에 대해 작성해봤다.1. 인증(Authentication) 이란?웹 서버는 누구든 접속할 수 있게 열려 있지만,특정 정보나 기능은 허가된 사람만 쓸 수 있도록 제한하고 싶을 때가 많다.이때 "너 누구야?" 하고 신원을 확인하는 것이 바로 인증이다.2. Basic 인증이란?Basic 인증은 웹 서버에서 사용자에게 아이디와 비밀번호를 요구하여, 그 정보를 바탕으로 사용자의 신원을 확인하는 아주 단순한 인증 방식이다. 특징적으로, 이 방식은 아이디와 비밀번호를 문자열로 붙인 다음, 그것을 Ba.. [Knowledge] DOM-Based XSS 들어가기 전XSS 취약점 실습 중 툴팁(Tooltip) 영역에서 Javascript가 실행되는 상황을 발견했다.테이블 본문에서는 스크립트가 이스케이프 처리되어 실행되지 않았지만, 툴팁(Tooltip) 영역에서는 이스케이프 처리가 적용되지 않아 스크립트가 실행되는 상황이었다.특히 흥미로운 점은: 위 코드를 실행 시키게되면 아래와 같은 일이 일어난다.실행 전 DOM 구조:document└── html └── body ├── div │ └── "기존 내용입니다" └── script 실행 후 DOM 구조: Modified→ 트리 구조로 보면 아래와 같음document└── html └── body ├── div │ └── .. [Knowledge] 공인 IP & 사설 IP & NAT의 역할 들어가기 전인터넷에 연결된 모든 기기는 'IP 주소'라는 고유한 번호를 부여받는다. 이 IP 주소 덕분에 서로 통신할 수 있는데, IP 주소에는 '공인 IP'와 '사설 IP'라는 두 종류가 존재한다. 각각의 차이점, 역할에 대해 알아보자본문1. 공인 IP란?공인 IP는 전 세계에서 유일한, 인터넷 상의 '집 주소' 같은 역할을 한다. 이 주소를 통해 다른 네트워크와 직접 통신할 수 있다. 외부에 공개되어 있는 IP이다. ISP가 제공하며, 전 세계에서 고유한 주소이다2. 사설 IP란?사설 IP는 같은 네트워크 안에서만 사용하는 주소이다. 공유기(라우터)가 자동 할당 해주며, 내부 네트워크 전용이기 때문에 외부 네트워크에서는 보이지 않기 때문에 외부에서 접근이 불가능 하다고 보면 된다. [대표적인 사설 .. [Knowledge] 비밀번호 해시화, 안전하게 지키려면 관리가 핵심 들어가기 전우리는 웹사이트 가입을 위해 아이디와 비밀번호를 입력하게 된다. 이때 비밀번호는 대부분 서버에 그대로 저장되지 않고, '해시 함수'라는 기술을 통해 변형된 값만 저장된다. 덕분에 공격가 서버를 턴다고 해도 원래 비밀번호 대신 알 수 없는 긴 문자열(해시값)만 보이기 때문에, 우리의 비밀번호가 바로 노출되지 않는다는 이점이 있다. 하지만 "비밀번호를 해시 처리했으니 무조건 안전해!"라고 생각하면 위험하다. 해시 함수 자체는 강력한 보안 기능이지만, 관리가 제대로 이루어지지 않으면 오히려 취약점이 될 수 있다. 해시값이 노출되면 공격자는 이를 악용할 방법이 많다. 이번 글에서는 그 위험성에 대해 알아보자 본문1. 해시 함수란 무엇인가?해시 함수는 입력값을 고정된 길이의 난해한 문자열(해시값)로 변.. [Knowledge] 360XSS 들어가기 전최근에 신박한 방법의 XSS 공격에 대해 들었고, 그 부분을 다룬 글을 작성하려고 한다.본문본격적으로 이야기를 시작하기에 앞서, 먼저 XSS 공격이 무엇인지 간단히 알아보자 XSS(Cross Site Scripting)란?XSS(크로스 사이트 스크립팅)는 사용자가 입력한 값에 대한 검증이 부족하여, 악성 스크립트가 실행되게 만드는 보안 취약점이다. 이를 통해 공격자는 사용자의 정보(예: 로그인 정보)를 탈취하거나, 악성 코드를 삽입하여 피해를 줄 수 있다. XSS는 크게 두 가지 종류로 나눌 수 있다. 1. Stored XSS이름 그대로 서버에 악성스크립트가 저장(Stored)되는 방식이며, 악성 스크립트가 서버 측에 저장되어 사용자가 해당 서버로 요청을 보낼 때마다, 저장된 악성 스크립트가 .. 이전 1 2 3 다음
