46~50

 

후 오늘은 docker에 mysql이랑 mongodb담다가 경로랑 이름이 안맞아서 한 5시간동안 헤매다가 해결하고 기분좋은 상태로 공부 했던거 정리하는 타임..

 

HTTP는 누군가가 탈취해서 요청의 내용을 다볼 수 있었다.---> 이것을 보안해서 보낸다?

이것이 HTTPS이다.

-인증서

  인증서에 작성된 도메인과 응답객체의 작성된 도메인을 확인한다.

--> 해커의 탈취를 통해 도메인 변경을 할 수 있다.

 

-CA

     인증서를 발급해 주는 기관

  

-비대칭 키 암호화

     A키로 암호화했다면 B키로 복화를 해야한다.

     공개키 비공개키는 서로 처음 handshake부분에 서로 인증하기 위해서 사용한다.

 

-쿠키-

http는 상태성을 유지하지 않는 stateless 인데 어떻게 유지가 되는거지???

서버가 웹 브라우저에 정보를 저장하고, 불러올 수 있는 수단.

여러가지 옵션을 통해서 쿠키를 지켜... 탈 취되면 밑에 보안문제 일어나기 떄문.

 

-session-

서버와 클리이언트가 연결된 암호

안전하다는 장점을 가지지만
항상 메모리를 차지한다는 단점을 가지고, 하나에 서버에 가지고있어야해서 분산이 필요하다는 특징을 가진답니다

 

 

-보안문제-

sql injection---> sql문으로 조건을 무조건 참으로 만들어 정보를 빼낸 후 다 삭제하는 것

 

CSRF 보안에서 아주 중요한 부분인 것 같다.

---> ex) 이메일에 첨부된 링크를 누르면 내 은행계좌의 돈이 빠져나감

 

쿠키로 로그인이 다루어지는경우 --> CSRF가 가능하다.

예측할 수 있는 요청/parameter가 필요하다.

Get의 파라메타를 링크를 통해 살짝 바꿔가지고 보내면 그것은 악성이돤다..

해커가 document의 form을 만들고 비밀번호를 바꾸는 폼을 보낼 수 있다.

CSRF토큰을 사용해서 문자열을 보호하거나, sam site cookie 같은 도메인에서만 사용할 수 있게하면 막을 수 있다.