Server Side Includes (SSI)Server Side Includes (SSI)는 웹 서버가 HTML 페이지를 동적으로 구성하기 위해 사용하는 간단한 서버 사이드 스크립트 기술이다. SSI 지시어는 HTML 주석 형식으로 삽입되며, 페이지가 로드될 때 서버가 해당 지시어를 해석하여 내용을 치환한다. 즉, CGI나 기타 서버 프로그래밍으로 전체 페이지를 생성하지 않고도 다양한 동적 콘텐츠를 포함할 수 있다.SSI 지시어중 와 같은 문자를 HTML에 넣으면 페이지 출력 시 현재 서버 시간을 해당 위치에 채워 넣는다. 또한, 일반적으로 파일 확장자가 .shtml, .stm, .shtml 인 HTML 파일에서 동작한다. 웹 서버는 이러한 확장자의 파일을 응답하기 전에 내부적으로 파싱하여 SSI..

사건 개요2025년 6월 중순, 보안 전문 매체 사이버뉴스(Cybernews) 연구진은 다크웹에서 유통 중인 30개의 대형 데이터셋을 발견했다고 발표했다.각 데이터 셋에는 수천만 건에서 최대 35억 건에 달하는 계정 로그인 정보가 들어 있엇으며, 모두 합치면 약 160억 건에 이르는 것으로 파악됐다. 해당 데이터에는 전 세계적으로 인기 있는 플랫폼 사용자의 계정 ID(이메일 주소 등)와 비밀번호를 비롯한 로그인 정보가 망라되어 있었으며, 구글(Google), 애플(Apple), 페이스북(Facebook), 텔레그램(Telegram) 등 주요 서비스 계정이 대거 포함된 것으로 드러났다. 규모 면에서 유출된 160억 건은 현재 지구상 인구의 두 배에 달하는 숫자로, 이론적으로는 인터넷 사용자 1인당 1개 이..

LDAP?LDAP(Lightweigth Directory Access Protocol, 경량 디렉터리 액세스 프로토콜)은 디렉터리 서비스와 작용하기 위한 응용 프로토콜로, Active Directory(AD) 를 비롯한 여러 디렉터리 서비스에서 활용된다. AD는 조직 내 컴퓨터, 사용자, 그룹 등에 대한 인증과 권한 부여를 담당하는 핵심 윈도우 서비스이며, LDAP는 AD가 이러한 디렉터리 데이터를 조회하고 통신하는데 사용하는 "언어" 이다. 즉, AD에 저장된 사용자 계정 정보나 보안 정보를 다른 시스템이나 애플리케이션이 조회하려 할 떄 LDAP 프로토콜을 통해 질의와 응답이 이루어진다. 이렇듯, LDAP 및 AD는 기업 보안의 필수 요소이다. 현재 많은 웹 어플리케이션은 OAuth, JWT, SSO를..

2025년 6월 초, 국내 최대 규모의 온라인 서점 예스24(YES24)가 대규모 해킹 공격을 받아 서비스가 장기간 마비되는 사건이 발생했다. 이로인한 피해 규모는 약 2,000만 명에 달하는 회원들이 서비스를 이용하지 못하고 개인정보 유출 가능성에 대한 불안함을 자아냈다.사건 개요2025년 6월 9일 새벽경 발생한 랜섬웨어 공격으로 파악된다.랜섬웨어는 시스템을 감염시켜 데이터를 암호화한 뒤 금전을 요구하는 해킹 방식이다.예스24는 서버의 일부 데이터가 암호화 되고 웹 사이트와 앱 서비스가 중단되었다.햐커는 데이터를 복호화해주는 대가로 금전을 요구한 정황이 확인되었으며, 예스24측도 "회원 정보 일부가 암호화되어 자체 복구가 어려운 상황" 이라고 설명했다.날짜 및 시간 사건 경과 및 주요 내용날짜 및 시..

CSP 기본 개념Content Securty Policy 즉, CSP라 불리는 콘텐츠 보안 정책은 웹 애플리케이션에 대한 클라이언트 측 보안 정책이다.웹 페이지에서 로드되거나 실행될 수 있는 리소스의 출처를 제어함으로써 XSS를 포함한 다양한 클라이언트 측 코드 삽입 공격을 방어하는 추가 보안 계층이다. 서버가 HTTP 응답 헤더에 CSP 규칙을 지정하면 브라우저는 해당 규칙에 따라 다양한 콘텐츠를 어떤 출처에서 불러올 수 있는지를 제한하게 된다. CSP 규칙에 위배되는 행위가 발생하면 브라우저 콘솔에는"Refused to execute inline script because it violates the CSP directive…"와 같은 오류가 표시된다. 즉, CSP는 신뢰된 출처로 명시된 리소스만 로..

Trusted Types는 브라우저 수준에서 DOM XSS 공격을 차단하기 위한 CSP 기반 보안 강화 기능이며, 위험한 Sink에 문자열 삽입을 금지하고 신뢰된 정책 객체로만 DOM 조작을 허용하는 메커니즘이다.

본 내용은 XSS가 어떠한 메커니즘을 통해 공격되고 우회되는지에 대한 내용이다.XSS에 대한 기본적인 내용은 아래 링크에서 확인 할 수 있다.https://hg2lee.tistory.com/entry/Cross-Site-Script-XSS Cross-Site Script (XSS)XSS란 무엇인가?동적인 처리가 이루어지는 웹 어플리케이션에서 공격자에 의해 조작된 악의적인 스크립트를 사용하여, 비정상적인 행위를 강제하게 하도록 하는 공격이며, 일반적으로 브라우저hg2lee.tistory.com서버/클라이언트 측 필터링 메커니즘과 우회 허점서버측에서는 요청을 처리할 때 "script, javascript:"등을 제거하거나 이스케이프 처리가 이루어지며, 브라우저 측 필터는 렌더링 전에 응답 내용 중 의심 패턴..

Redis란?Redis(Remote Dlctionary Server)는 In-Memory 기반의 Key-Value 데이터 저장소로, 초고속의 데이터 처리를 위해 메모리 기반으로 설계된 NoSQL 데이터 베이스이다.아래와 같은 특징을 가진다.오픈소스 (BSD License)싱글 스레드 기반비정형 데이터 구조 (String, List, Hash, Set, Sorted Set 등)캐시, 세션 저장소, Pub/Sub. Queue, 리더보드 등 다양한 용도로 사용됨고성능, 낮은 지연(latency), 높은 처리량(throughput)6379 포트 사Redis 구조Redis Server모든 요청을 처리하며, 데이터는 메모리에서 저장됨Redis Client다양한 언어로 클라이언트 라이브러리를 지원 (Python, G..