공대생의 컴공생활

최근에 키클락에 어떤 취약점이 있는지 그냥 궁금해서 검색해봤다. 2024년 9월에 나온 취약점이다 간단하게 SAML 서명 검증을 우회해버리는 취약점이다.. 그냥 SSO 시스템을 뚫어버리는 엄청난 취약점.. 취약점 분석  안랩 https://asec.ahnlab.com/ko/83323/ Keycloak 보안 업데이트 권고(CVE-2024-8698) - ASEC개요 Keycloak에서 발생하는 취약점을 해결하는 업데이트를 발표하였습니다. 해당하는 버전의 사용자는 최신 버전으로 업데이트하시기 바랍니다.    대상 제품   CVE-2024-8698 Keycloak 버전: ~ 25.0.6(asec.ahnlab.com 안랩의 데이터이고 내용은 Keycloak XMLSignatureUtil 클래스 내의 SAML 서명..

SSO는 이름 그대로 단일 로그인, 즉 한번의 로그인으로 여러개의 애플리케이션들을 이용할 수 있게해주는 서비스 입니다. 한번의 로그인으로 구글 관련 서비스를 모두 이용할수 있는것이다. 장점ID/Password 개별 관리의 위험성 해소사용자 편의성 증가단점구축비용이 비싸고 시스템 복잡도 증가 Single Point of Failure구현 방식위임(Delegation) 방식SSO 에이전트가 인증을 대행하는 방식대상 애플리케이션의 인증 방식을 변경하기 어려울 때 많이 사용사용자의 인증 정보를 SSO 에이전트가 관리하며 로그인 대신 수행 이건 앞단에 SSO 서버를 두고 리버스 프록시 형태로 서비스를 제공한다.사용자의 인증 정보를 Agent가 관리하여 대신 로그인 해주는 방식이다.EX ) ID / password..

기본 정보JSON Web Token (JWT) 은 웹표준 (RFC 7519) 으로서 두 개체에서 JSON 객체를 사용하여 가볍고 자가수용적인 (self-contained) 방식으로 정보를 안전성 있게 전달해줍니다. 라고 설명이 나와있다. 여기서 중요한건self-contained  JWT는 이런식으로 구성되어 자체적으로 토큰에 정보를 담고있다. 그래서 전달이 쉽다.웹서버의 경우 HTTP의 헤더에 넣어서 전달 할 수도 있고, URL 의 파라미터로 전달 할 수도 있다. 헤더{ "typ": "JWT", "alg": "HS256"} 이런식으로 타입은 JWTalg 는 알고리즘으로 보통 HMAC SHA256 혹은 RSA 가 사용된다. 내용JWT의 표준 스펙 1. iss (Issuer) : 토큰 발급자2. sub ..

@Bean public HiddenHttpMethodFilter hiddenHttpMethodFilter() { return new HiddenHttpMethodFilter(); } 빈에 등록해주시고( 등록안하면 delete로 안나가고 post 로 나감) get post 만 지원하는 이유를 알고싶으면 밑 링크 보시면 됩니다. http://haah.kr/2017/05/23/rest-http-method-in-html-form/ REST - HTML Form에서 GET/POST만 지원하는 이유 연재 목록 REST - 긴 여정의 시작 REST - HTML Form에서 GET/POST만 지원하는 이유 REST - 논문(요약) 훑어보기 REST - REST 좋아하시네 REST - Roy가 입을 열다 REST - ..