02_Security.md

웹 보안

DoS 와 DDoS의 차이를 말해보세요.

• DoS는 한 대의 공격 서버가 대상 서버에 악성 패킷을 보내 공격하는 것을 말합니다. 이를 차단하기 위해 공격을 받은 서버는 해당 패킷을 보낸 서버를 차단하는 것으로 공격을 막을 수 있습니다.
• DDoS는 서버가 공격을 차단할 수 없도록 하기위해 분산된 여러서버에서 동시다발적으로 대상 서버에 악성 패킷을 보내 공격을 수행하는 것을 말합니다. 다수의 서버가 패킷을 보내기 때문에 공격에 쉽게 대응할 수 없습니다.

CORS 정책에 대해서 설명해보세요.

• CORS 는 Cross Origin Resouce Sharing의 약자로 서로 다른 Origin끼리의 리소스 공유를 제한하는 정책입니다. Origin 이란 프로토콜, 호스트, 포트를 합친 식별자를 의미합니다. 다른 Origin 끼리의 리소스 공유를 항상 허용하면 신뢰되지 않은 사이트로부터 악성스크립트나 리소스를 받아오게 될 수 있어 이를 보완하기 위해 브라우저의 기본정책으로 사용합니다.

CORS의 동작과정을 설명해보세요.

• 클라이언트가 서버에 요청을 보낼 때, 브라우저는 Preflight 를 먼저 서버로 보냅니다. preflight 에는 요청을 보내는 클라이언트의 origin 정보가 들어있습니다.
• 서버는 preflight 를 받은 뒤 자신이 가지고 있는 Acess-Control-Allow-Origin 을 응답합니다. 이곳에는 서버가 리소스 공유를 허용하는 origin 들이 명시되어 있습니다.
• 브라우저는 요청을 보냈을 때의 origin 과 Acess-Control-Allow-Origin 의 origin 을 비교한 뒤 일치하는 origin 이 있다면 본 요청을 서버로 보냅니다.

CSRF에 대해서 설명해보세요

• CSRF 는 Cross Site Request Forgery로 특정 호스트의 권한을 사용하여 위조된 요청을 전송하는 공격방법입니다.
• 공격자는 CSRF 악성코드가 포함된 스크립트를 메일이나 게시글을 통해 등록하고, 사용자가 이 게시글이나 메일을 열람하게되면 스크립트가 실행되며 해당 사용자가 가진 권한으로 악성 요청이 서버에 전송됩니다.

CSRF를 막을 수 있는 방법을 말해보세요.

• 가장 대표적인 방법은 Referrer 검증입니다. 서버가 요청을 받았을 때 헤더의 referrer 를 확인하여 정상적인 도메인에서 온 요청인지 확인합니다.
• 또한 토큰을 통해서 요청의 유효성을 검증하거나 CAPCHA와 같은 도구를 사용하여 사용자가 직접 요청을 수행해야하도록 하는 것으로 방지할 수 있습니다.

XSS에 대해서 설명해보세요.

• XSS 는 Cross Site Scripting 으로 사용자가 악성 스크립트를 실행하게끔 입력폼을 전송하거나 URL을 노출하는 공격방법입니다. 악성 스크립트가 실행되면 브라우저에 저장된 개인정보를 탈취하거나 클라이언트 시스템을 공격하게됩니다.

XSS를 막을 수 있는 방법을 말해보세요.

• XSS는 스크립트를 실행하여 공격을 수행하는 방식이기 때문에 서버로 들어오는 입력중 script 태그를 포함하는 문자열을 필터링하는 것으로 막을 수 있습니다.

CSRF 와 XSS 의 차이는 뭘까요 그럼?

• 두 공격방법 모두 악성 스크립트를 실행하게 하는 방식이지만 CSRF 클라이언트를 통해 서버를 공격하는 방법이고, XSS는 클라이언트를 공격하는 방법입니다.

SQL 인젝션이 무엇인지 설명하고 방지법을 말해보세요.

• SQL 인젝션은 입력에 의도적으로 SQL 구문을 삽입하여 서버에 요청을 보내고, 서버에 전달된 SQL 구문이 데이터베이스를 조작하게되는 공격방법입니다.

• XSS와 마찬가지로 SQL 문법을 입력값에서 필터링하는 것으로 방지할 수 있습니다.