OWASP22 OAuth 2.0에서 PKCE 중요성과 기업 보안 전략 수립 가이드 현대의 디지털 환경에서 보안은 선택이 아닌 필수입니다. 특히 모바일 애플리케이션과 싱글 페이지 애플리케이션(SPA)의 증가로 인해 클라이언트 보안에 대한 중요성이 더욱 강조되고 있습니다. 이 글에서는 OAuth 2.0에서 PKCE(Proof Key for Code Exchange)의 역할과 보안 효과를 살펴보고, 기업이 포괄적이고 효과적인 보안 전략을 수립하고 실행하는 방법에 대해 알아보겠습니다.OAuth 2.0에서 PKCE의 목적과 보안 효과PKCE란 무엇인가?PKCE(Proof Key for Code Exchange)는 OAuth 2.0 프로토콜에서 인증 코드 흐름의 보안을 강화하기 위해 도입된 확장 기능입니다. 특히 모바일 앱이나 SPA처럼 클라이언트 비밀(Client Secret)을 안전하게 저장.. 2024. 11. 4. Gogs 내장 SSH 서버 취약점을 중심으로 보안 강화 방안 소프트웨어 개발에서 Git은 필수적인 버전 관리 도구로 자리 잡았습니다. 이를 웹 기반으로 쉽게 관리할 수 있게 해주는 서비스 중 하나가 바로 Gogs입니다. 그러나 최근 Gogs의 내장 SSH 서버에서 보안 취약점이 발견되어 사용자들의 주의가 요구되고 있습니다. Gogs가 무엇인지 내장 SSH 서버의 취약점과 그에 대한 해결 방안입니다.1. Gogs란 무엇인가?Gogs는 Go 언어로 작성된 가벼운 Git 서비스입니다. 단일 바이너리 파일로 제공되어 설치와 설정이 매우 간편하며, 다음과 같은 특징을 가지고 있습니다:다양한 플랫폼 지원: Windows, macOS, Linux 등 여러 운영체제에서 실행 가능경량화된 성능: 최소한의 리소스로 빠르게 동작풍부한 기능:Git 저장소 관리사용자 및 팀 관리이슈 추.. 2024. 10. 19. OWASP Kubernetes 보안 위험요소 Top 10 소개 및 대응 가이드 OWASP(오픈 웹 애플리케이션 보안 프로젝트)는 소프트웨어 보안 개선을 위해 활동하는 비영리 단체로, 웹 애플리케이션 보안에 중점을 두고 있지만, 현대 시스템 설계의 특성상 범위를 확장해 왔습니다. Kubernetes 환경에서 가장 일반적인 공격 벡터를 식별하기 위해 OWASP는 OWASP Kubernetes Top 10을 작성했습니다. 이는 Kubernetes 환경에서의 보안 태세를 확인하고 모든 가능한 위협을 고려하는 데 도움이 됩니다. OWASP Kubernetes Top 10 프로젝트는 보안 실무자와 엔지니어에게 유용한 인식 및 지침 리소스를 제공하며, 사건 대응 엔지니어가 Kubernetes 위협을 이해하는 데 도움이 됩니다. 또한, MITRE ATT&CK 기술을 통해 공격자의 기술을 등록하고.. 2024. 10. 7. Kubernetes 환경에서 OWASP ZAP 동적 스캔환경 구성 OWASP ZAP을 Kubernetes 환경에 구축하고 관리하는 전체 프로세스를 설명드리겠습니다. 이는 Helm 차트를 이용한 설치부터 스캔 설정, 동적 컨테이너 배포, 결과 리포팅까지의 과정을 포함합니다.1. 사전 준비먼저 Kubernetes 클러스터와 Helm이 설치되어 있어야 합니다. Kubernetes 클러스터는 v1.11.0-0 이상 버전이 필요합니다.curl https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3 | bash2. OWASP ZAP Helm 차트 설치SecureCodeBox 프로젝트의 zap-advanced Helm 차트를 사용하여 OWASP ZAP을 설치합니다. 이 차트는 필요한 모든 종속성과 함께 ZAP을 Ku.. 2024. 5. 26. Jenkins ZAP(Zed Attack Proxy) 플러그인 통한 취약점 점검 자동화 Jenkins에 ZAP(Zed Attack Proxy) 플러그인을 사용하여 코드가 푸시될 때마다 도커(Docker)로 서비스를 배포하고, ZAP을 통해 취약점 점검을 수행한 후 결과를 리포팅하는 프로세스는 CI/CD 파이프라인에 보안 테스트를 통합하는 효과적인 방법입니다. 이를 위해서는 Jenkins, Docker, ZAP을 함께 사용하는 방법을 이해해야 합니다. 아래는 이 과정을 구현하는 단계별 안내입니다. 준비 단계 Jenkins 설치: Jenkins 서버가 설치되어 있어야 하며, 필요한 경우 Jenkins를 설치합니다. Docker 설치: Docker가 설치되어 있어야 하며, Jenkins 서버에서 Docker 커맨드를 실행할 수 있어야 합니다. ZAP 설치: OWASP ZAP이 설치되어 있어야 합.. 2024. 3. 19. 이전 1 2 3 4 5 다음 728x90
