웹 보안_Chapter03 - 02 인증 기술과 O-Auth

Chapter03 - 02 인증 기술과 O-Auth

네트워크의 공격의 대부분은 80번 포트로 들어와서 웹 공격이 주로 된다.

따라서, 웹에서의 취약점 중 인증과 데이터 베이스 접근에 공격이 가장 많다.

 

1.     인증 기술

l  인증 방법은 두 개 이상의 방법을 함께 사용하는 것이 더 안전

l  주민등록번호 기반 인증

-       주민등록번호의 앞 여섯 자리는 생년월일, 뒤 일곱 자리는 성별, 태어난 지역, 출생신고 순서, 오류 검증 번호로 구성

-       성별을 나타내는 숫자는 태어난 시대에 따라 구분

l  I-PIN(인터넷상 개인 식별번호) 기반 인증

-       웹 서비스를 이용할 수 있는 개개인을 식별하는 식별번호

l  생체 인증

2.     접근 통제

l  수직적 접근 통제

-       특정 권한을 가진 정보를 입력하도록 해서 접근할 수 있도록 해 줌

l  수평적 접근 통제

 

3.     OAuth(Open Authentication)

l  오픈 인증이라고 함

l  정의: 하나의 로그인을 이용해서 여러 관련 없는 웹 사이트 들에 접근할 수 있게 해 줌

l  OAuth의 접근의 의미

-       로그인을 하기 위한 본인에 대한 인증을 해 줌

-       웹 페이지에 있는 서비스를 이용할 수 있는 권한(인증과 인가)을 부여 해 줌

1.     다른 웹 페이지에서 인증이 된 웹 페이지에서 사용했던 미디어(사진, 음악, 영상)등을 사용할 수 있음

2.     ex) 카카오톡에서 사용자가 설정 한 음악을 터치하면 바로 멜론에서 들을 수 있는 권한을 부여 해 준다.

l  사용자가 이미 특정 웹 사이트나 서비스에 로그인 했다고 가정

-       참고로 OAuth는 HTTPS만 작동

-       사용자는 이후 다른 관련 없는 사이트나 서비스에 액세스 하기 위한 트랜젝션을 개시

-       과정

1.     클라이언트가 가입을 요청

2.     서버가 필요한 인증할 수 있는 웹 페이지를 보여줌

3.     클라이언트가 특정 웹 페이지를 요청 하는 순간 해당 페이지에서 사용자임을 확인하

A.     이 때 사용자의 ID와 패스워드를 전송하지 않는다.

4.     특정 웹 페이지는 요청에 대한 접근 토큰을 클라이언트에게 전송

A.     특정 웹 페이지에서는 사용자에 대한 <ID/PW+Token>을 가지고 있음

5.     클라이언트는 부여 받은 액세스 토큰을 가지고 서버에 전달

6.     해당 서버는 액세스 토큰을 확인하고 클라이언트에 웹 페이지 권한 부여

l  OAuth의 취약점

-       공격자가 서드파티 애플리케이션을 만들어 액세스 토큰을 확보하는 경우

-       만약 공격대상이 승인을 누르면 공격자는 공격이 가능 해 진다.