CWE(Common Weakness Enumeration) CWE는 소프트웨어와 하드웨어의 설계, 디자인, 코드 구현에서 발생할 수 있는 결함, 버그, 에러 등의 보안 약점을 카탈로그화한 것이다. 주요 목적 보안 약점에 대한 공통 언어 제공 소프트웨어 보안 도구 간의 호환성 향상 보안 약점 식별 및 완화를 위한 기준 제공 표기 방식 ID 체계 CWE는 'CWE-XXX' 형식으로 표기된다. 예: CWE-119: 버퍼 오버플로우 CWE-89: SQL 인젝션 CWE-79: 크로스 사이트 스크립팅 상세 정보 구조 각 CWE 항목은 다음과 같은 정보를 포함한다: ...
Authorization Models API 권한 부여(Authorization)는 인증(Authentication)이 완료된 후, 사용자가 어떤 리소스에 접근할 수 있는지를 결정하는 중요한 보안 메커니즘이다. 권한 부여는 사용자의 신원이 확인된 후(인증), 해당 사용자가 특정 API 리소스나 작업에 접근할 수 있는 권한이 있는지를 확인하는 과정이다. 인증(Authentication)과 권한 부여(Authorization)의 차이 API 보안 맥락에서 이 두 개념의 차이를 명확히 이해하는 것이 중요하다: 인증(Authentication): “당신이 누구인지” 확인하는 과정 사용자나 시스템의 신원을 검증 주로 자격 증명(사용자 이름/비밀번호, 토큰, 인증서 등)을 통해 이루어짐 권한 부여(Authorization): ...
CORS (Cross-Origin Resource Sharing) 다른 출처(Origin)의 리소스를 공유하기 위한 보안 메커니즘 웹 브라우저에서 실행되는 보안 정책 동일 출처 정책(Same-Origin Policy)의 제한을 안전하게 완화하는 방법 목적 동일 출처 정책(Same-Origin Policy)을 우회하면서도 안전한 교차 출처 요청을 가능하게 합니다. 웹 애플리케이션의 기능성을 확장하고 다양한 도메인 간 리소스 공유를 허용합니다. 작동 원리 브라우저는 교차 출처 요청 시 Origin 헤더를 포함시킵니다. 서버는 Access-Control-Allow-Origin 헤더로 허용된 출처를 지정합니다. 요청 유형 단순 요청 (Simple Request): GET, HEAD, POST 메서드만 사용 허용된 헤더만 사용 Content-Type이 다음으로 제한: application/x-www-form-urlencoded multipart/form-data text/plain 프리플라이트 요청(Preflight Request): OPTIONS 메서드를 사용한 사전 검사 실제 요청 전에 서버의 허가를 확인 안전하지 않은 요청에 대한 보호 CORS 시나리오 단순 요청 ...