보안

목표 SSO(Single sign-on)가 무엇인지 이해한다. SSO와 OAuth, SAML의 관계를 이해한다. SSO란 SSO: 하나의 자격 증명으로 여러 애플리케이션과 웹사이트에 인증할 수 있는 인증 방법이다. 예시: 구글 로그인으로 Gmail, YouTube 등 인증 가능 일반적인 SSO 흐름 사용자가 접근하려는 애플리케이션 또는 웹사이트(SP)를 접속한다. SP는 사용자 인증 요청의 일부로 사용자에 대한 일부 정보(이메일 등)가 포함된 토큰을 SSO 시스템과 같은 IdP에 보낸다. IdP는 사용자가 이미 인증되었는지 확인하며, 인증된 경우 사용자에게 SP 애플리케이션에 대한 액세스 권한을 부여하고 5단계로 건너뛴다....

목표 CSRF가 무엇인지 이해한다. CSRF의 대응 방법을 이해한다. CSRF란? 피해자가 의도하지 않은 기능을 수행하기 위해 악의적인 요청을 보내도록 하는 공격이다. 요청에 세션 쿠키를 포함한 모든 쿠키가 자동으로 포함되기 때문에, 서버에서는 정상적인 요청과 CSRF 공격을 구분할 수 없다. 공격 예시 일반적으로 사회공학 기법을 사용해서 요청을 보내도록 한다. 악성 페이지, 이메일 등의 html에 <img> 태그를 통해 보이지 않는 요청을 보내도록 하기 악성 페이지에 스크립트 심기 공격시에는 요청을 보낸 사이트에 인증되어 세션이 유지되고 있어야된다....