개요 웹 진단 업무를 수행하며 모던 웹에서 JWT라는 토큰을 본 적이 있다. 그 때는 이게 뭔가 하면서 리퀘스트 헤더에 있는 JWT 값을 대충 디코딩해보고 대충 값 변조해서 재인코딩 후 서버로 보냈었고 특별한게 없어서 넘어갔었다. 하지만 최근에 모든 껀덕지를 활용해서 성과를 내야하는 프로젝트를 수행했고, 해당 웹에서는 세션이 아닌 JWT를 통해 사용자 인증이 이루어졌고 좀 더 자세히 알아야 할 필요를 느껴 정리를 시작했다. JWT 란? JWT는 JSON Web Token의 약자로 전자 서명된 URL-safe(URL로 이용할 수 있는 문자로 구성된)의 JSON으로 유저를 인증하고 식별하기 위한 토큰(Token) 기반 인증이며, RFC 7519를 통해 자세한 명세를 확인할 수 있다. 웹에서 사용자 인증 정보..

개요 마이크로소프트(MS)에서 2022년 6월 15일을 기점으로 국내에서 가장 많이 사용되는 브라우저인 인터넷 익스플로러(IE)의 지원을 종료하였다. 지원을 종료한 이유는 IE 브라우저의 처리 속도, 보안성, 확장성이 타 브라우저 대비 현저히 낮았던 것이 주 원인으로 보여진다. MS에서는 IE 서비스 제공자 및 이용자들의 편의를 고려하여 기존 서비스가 중단되지 않도록 차기 브라우저인 Edge 브라우저에서 IE 호환 모드라는 기능을 제공한다. 해당 기능을 이용하면 Edge 브라우저를 이용해서 IE 기반으로 개발된 서비스를 제공받을 수 있다. 그렇다면 기존 브라우저에서 동작하는 IE 취약점이 Edge 브라우저의 IE 호환 모드 기능을 이용할 때도 똑같이 취약한지 여부에 대해 확인해보고 취약하다면 어떻게 대응..

보호되어 있는 글입니다.

How can users access AWS? ​ AWS에 엑세스하는 방법은 세 가지로 존재함. AWS Managerment Console AWS 관리 페이지에 존재하는 Console으로 접근하는 방법이 존재함. 이 경우 Password + MFA으로 보호됨. AWS CLI 개인 PC의 콘솔에서 AWS 콘솔로 접근하는 방식으로 Access Key로 접근 통제함. AWS SDK 코드 상에서 AWS 콘솔으로 접근할 수 방식으로 CLI 방식과 같은 접근 통제인 Access Key로 접근 통제함. Access Key는 관리 콘솔을 사용하여 생성이 가능하며, 사용자가 직접 관리함.

IAM Protected 사용자와 그룹의 정보가 침해당하지 않도록 보호하는 방법은 두 가지 방법이 존재함. Password Policy 강력한 비밀번호는 높은 보안을 가짐. AWS에선 다양한 옵션을 이용하여 비밀번호 정책을 생성할 수 있음. IAM 사용자들의 비밀번호에 대한 권한을 컨트롤(변경 허용, 만료 기간 등) 할 수 있음. 비밀번호 재사용 방지 설정 가능 MFA (Multi Factor Authentication) 여러 인증 방식을 이용하여 사용자를 검증하는 방식을 뜻함. (ex. 1차 비밀번호 검증 -> 2차 OTP 검증) AWS에선 MFA를 필수적으로 사용하도록 권장하고 있음. Root 계정을 보호하여 전체 IAM 사용자들을 보호해야하는데, 이때 MFA를 사용하는 것을 권장함. MFA Devi..

IAM Policies inheritance 각 3개의 그룹이 존재하며, 그 중 Audit Team은 Developers Team과 Operation Team의 팀원이 1명씩 속해져 있음. 도형 내에 빨간색 체크 문서로 표시된 것은 해당 Group에서 적용되는 정책을 의미함. 하지만 Audit Team의 Charles, David은 Developers, Operations Team Group에 속하는 다중 Group 사용자임. 이런 경우 Audit Team의 정책은 어떻게 되는 걸까? 정답은 속해져 있는 정책 모두 적용된다는 것 즉, Charles는 Developers Team과 Audit Team의 정책을 모두 적용 받음. Fred는 Goup에 속하지 않는 사용자임. 해당 사용자에게 정책을 적용시키고 ..