소개이번 시간에는 저번에 구축해본 아키텍쳐 1.1 버전을 보강한 1.2 버전에 대한 글을 남기고자한다.이전에 내가 부족하다고 느꼈던 부분들은 온전히 다 수정해봤고, 나아가 맨 아래 미리 보여준 아키텍쳐에서 수정한 부분들도 있었다그 이유는 CloudFront는 굳이 넣을 필요가 당장은 없었다. 왜냐하면, 내가 처음에 넣은 이유는 CloudFront와 Aws Certificate 를 연동시켜 HTTPS 통신 구현을 목적으로 넣은 것이다.그러나 이미 ALB가 있으면 ALB에다가 AWS Cerficate와 연동시키면 되기때문에 굳이 CloudFront를 넣지는 않았다. CloudFront의 주요 기능이 캐싱 역할인데, 그 기능도 크게 써먹고 있지는 않으니 더욱 쓸 필요가 없었던 것이다.바로 아키텍쳐 소개를 시작..

소개그동안 배운 것들을 기반으로 클라우드 아키텍쳐를 구축해보았다. 물론 온전히 하나하나 내 머리속에서 가져온 것이 아닌, 여러 자료 및 영상들을 참고하였음을 알린다. 요즘 클라우드 보안 관련해서 멘토링 수업을 듣고 있다.이번 주차가 3주차인데, 이번주차는 IAM, S3, EC2를 기반으로 아키텍쳐를 구현해보는 것이다. 물론 난 이것만을 활용하지 않고, CloudFront나 AWSRoute53 등도 따로 추가해보았다.참고로 이 글의 카테고리는 단순 정보 전달이 아닌, 온전히 내 경험 및 생각을 남기기위한 글이다. 맞고 틀리고를 떠나 나 자신의 오류를 찾아가는 카테고리이다.나아가, AWS 클라우드 아케텍쳐 1.1 버전이라고 한 이유는 나의 첫 아키텍쳐라는 의미의 1과 그것의 초안 버전인 0.1 을 조합하여 ..

목차정의특징인증 방법가격 모델제공 DB 엔진암호화백업RDS Multi - AZ RDS Read Replica(읽기 전용 복제본) RDS Multi Region 차이  정의Amazon Relational Database Service(Amazon RDS)클라우드에서 관계형 데이터베이스를 간편하게 설계, 운영, 확장할 수 있도록 AWS에서 제공해주는 관계형 데이터베이스임.하드웨어 프로비저닝, 데이터베이스 설정, 패치 및 백업과 같은 시간이 소모되는 관리 작업을 자동화시키며, 비용 효율적이고, 크기 조정이 가능한 용량도 제공해줌.빠른 성능, 고가용성, 보안, 호환성도 제공해줌.  특징기본적으로 가상머신 위에서 동작을 하는 ec2 인스턴스에다 EBS 볼륨을 결합한 형태임.그래서 이전에 배운 security ..

목차XSS 정의XSS 종류XSS 실습XSS 대응방안 정의공격자가 입력한 악성스크립트가 사용자 측에서 실행되어 발생하는 취약점으로, 사용자 입력값에 대한 검증이 미흡하거나 출력 시 필터링 되지 않을 경우에 발생하며,사용자의 쿠키 값 탈취 및 피싱 사이트로 리다이렉팅 등과 같은 피해를 발생시킨다. 종류XSS는 발생 형태에 따라서 다양한 종류로 구분되는데, 아래에서 XSS 종류와 악성 스크립트가 삽입되는 위치를 확인할 수 있다.Stored XSSXSS에 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSSReflected XSSXSS에 사용되는 악성 스크립트가 URL에 삽입되고 서버의 응답에 담겨오는 XSSDOM-based XSSXSS에 사용되는 악성 스크립트가 URL Fragment에 삽입..

목차Weak Session IDs 이론Weak Session IDs 실습Weak Session IDs 대응방안 Weak Session IDs 이론사전정보 Session ID: 일반적으로 서버가 클라이언트를 식별하기위해 사용된다. 클라이언트가 웹 서버에 접속하면 서버가 클라이언트에게  session id 값을 전달하며, 클라이언트는 본인의 쿠키에 해당 session id 값을 포함시킨다음, 웹 서버에게 http 요청을 보내면 서버는 session id 값을 이용하여 클라이언트를 구분한 뒤 인증되면, 서버 자원을 제공한다.취약점 정의사용자의 세션 관리가 미흡하여 사용자의 Session ID를 탈취당할 수 있는 취약점을 말한다. 예를 들어, Session ID가 암호화 조치가 이루어져있지 않아서 sniffin..

목차Blind SQL Injection 이론Blind SQL Injection 실습 Blind SQL Injection 대응방안 Blind SQL Injection 이론쿼리의 결과를 참 또는 거짓으로만 출력하는 페이지에서 사용할 수 있는 SQL Injection 공격 기법출력 내용이 참 또는 거짓으로만 구성된 웹 페이지에서 참/거짓 정보를 이용해 데이터베이스의 내용을 추측하는 공격 방식Brute Force 공격과 비슷하게 상당히 많은 경우의 수를 대입해보며 공격을 수행해야 하기 때문에 일반적으로 자동화 도구를 이용하여 공격을 수행한다. Blind SQL Injection 실습 Blind SQL Injection 공격을 실습하기 위해 해당 탭으로 들어온 모습User ID 입력란에 번호를 입력하면 해당 번호..