JSON WEB TOKENS 문제 및 개념 JOSE(JavaScript Object Signing and Encryption)는 인터넷에서 정보를 안전하게 전송하는 방법을 지정하는 프레임워크입니다. 웹 사이트나 응용 프로그램에서 사용자 권한을 부여하는 데 사용되는 JSON 웹 토큰(JWT)으로 가장 잘 알려져 있습니다. JWT는 일반적으로 사용자 이름과 암호를 입력하여 사용자 자신을 인증한 후 "로그인 세션"을 브라우저에 저장하여 이 작업을 수행합니다. 즉, 웹사이트는 사용자 ID가 포함된 JWT를 제공하며, 사이트에 제시되어 다시 로그인하지 않아도 사용자가 누구인지 증명할 수 있습니다. JWT는 이렇게 생겼습니다. eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmbGFnIjoi..

지난번에는 AWS 페이지에서 콘솔 접근을 해봤다면, 이번엔 윈도우에서 PowerShell과 Kali 리눅스를 통한 SSH 연결을 해볼 것이다. 어렵지 않으니 잘 따라오길 바란다!! 1. 이전에 생성한 키페어 파일을 VMware KaliLinux에 옮겨 줍니다. 이후 해당 파일에 읽기 권한을 부여해 줍니다! 해당 파일은 /EC2 라는 디렉터리 생성 후 안에 넣어주었으며, 윈도우에서 VMware로 Ctrl+C ,V 로 쉽게 옮길 수 있기에 생략 했습니다. chmod 400을 통해 키페어 파일에 읽기 권한 부여! 2. 이후 AWS 페이지의 SSH 클라이언트 에서 ssh 연결 명령어를 입력해 준다. 해당 명령어 Kali에 붙혀넣기 후 명령어 실행 하면 SSH 연결이 완료 된다. 이번에는 윈도우에서 PowerSh..

보호되어 있는 글입니다.

개요 AWS 클라우드에서는 콘솔 로그인 시 디바이스 핑거프린트 정보를 활용한 지정 단말 로그인 기능을 제공하지 않기 때문에 지정된 단말(PC)에서만 클라우드 콘솔 접근이 허용되도록 Lambda를 이용해 모바일 접속을 제한하는 기능을 만들어보자, * User-Agent 헤더를 이용하여 접속을 제한하는 것이 완벽한 방법은 아니지만 손쉽게 구현 가능한 최선의 방법이다. Lambda 구성 방안 1. 사용자 계정에 로그인 단말 정보를 입력하는 태그 생성 2. 콘솔 로그인 시 해당 사용자의 단말 정보를 확인하는 서버리스 함수 생성 3. 실시간 API 호출내역에서 콘솔 로그인 성공 이벤트가 발생할 경우 트리거 4. 발생한 이벤트의 User-Agent 값을 확인하여 사전 정의된 문구가 포함될 경우 모바일 단말로 판단 ..

보호되어 있는 글입니다.

개요 금융권에서는 내부사용자 비밀번호 관리에 관한 항목을 전자금융감독규정 제32조로 규정하고 있다. 시스템에 로그인할 때 비밀번호 입력 시 5회 이내 범위에서 입력 오류가 연속 발생한 경우 로그인을 차단하도록 되어있다. 하지만 AWS 클라우드에서는 콘솔 로그인 실패에 대한 제한 기능이 따로 제공하지 않기 때문에 Brute Force를 이용한 계정 탈취 공격에 노출될 수 있다. 따라서 Lambda 함수를 이용해 해당 기능을 만들어보자. Lambda 구성 방안 1. 사용자 계정에 콘솔 로그인 실패 횟수를 입력하는 태그 생성 2. 콘솔 로그인 실패 횟수를 카운트하는 서버리스 함수 생성 3. 실시간 API 호출내역에서 콘솔 로그인 실패 이벤트가 발생할 경우 트리거 4. 동일 계정으로 5분 이내 로그인 실패 횟수..