Javascript에서의 Callback 함수에 대해 알아보자. Callback 함수란? 다른 코드의 인자로 넘겨지는 실행 가능한 코드 어떤 이벤트에 의해 호출 되어지는 함수 종합해보면 다른 코드가 호출해서 인수를 넘겨주면 실행되는 함수를 말합니다. Callback 함수의 구조 특정 함수의 매개변수 값으로 Callback 함...

XSS 참고 글 : XSS XSS 공격으로 사용자의 Cookie를 접근하는 것을 막기위한 대응 방법에 대해 알아보곘습니다. HTTP Only Cookie 브라우저에 저장된 쿠키는 클라이언트에서 Javascript로 조회가 가능합니다. XSS 공격은 서버 측에서 제공되는 Script가 아닌 권한이 없는 사용자(이하 해커)가 웹사이트에 S...

Refresh Token 탈취 대응 AccessToken과 RefreshToken을 같이 쿠키에 저장하고 있기 떄문에 둘이 같이 탈취될 가능성이 있습니다. RefreshToken은 유효기간이 길어서 만료되기 전까지 해커가 계속해서 사용할 수 있습니다. 대응 방법으로 RefreshToken을 발급할 때 서버 저장소에 따로 저장하고 RefreshTo...

csurf 모듈 CSRF 공격을 방지하는 보안 모듈로 CSRF Secret와 CSRF Token을 만들어서 서로 매칭이 되는지 확인하는 기능을 제공합니다. 보통 CSRF Secret는 session/cookie에 저장하고 CSRF Token은 POST body에 저장합니다. 설치 npm i csurf ...

CSRF Cross Site Request Forgery (사이트 간 요청 위조)의 줄임말로 웹 취약점 중 하나입니다. 사용자가 자신의 의지와는 무관하게 해커가 의도한 행위(데이터 수정, 삭제, 등록 등) 를 특정 웹사이트에 요청하게 되는 공격입니다. 예를 들면 사용자가 그저 버튼을 눌렀을 뿐인데 해커가 심어놓은 스크립트에 의해 내 계정의 인증과...

helmet 모듈 공식 문서 정의 Helmet helps you secure your Express apps by setting various HTTP headers. It’s not a silver bullet, but it can help! helmet 모듈은 Express와 함꼐 사용되는 보안 강화 모듈입니다. HTTP 헤더 설정을 ...

sanitize-html 모듈 HTML의 input 또는 textarea 등의 사용자 입력정보에 <script>문자</script>를 사용해 웹 브라우저에서 txt가 아닌 script로 받아들이는 악성 스크립트를 필터링하기 위한 node의 패키지 모듈입니다. 즉, <script>, <a> 등등 기타 태그들...

XSS (Cross-Site Scripting) XSS는 웹 취약점 공격 방법중 하나로, 사용자 입력 값에 대한 필터링이 제대로 이루어지지 않을 경우, 공격자가 입력이 가능한 폼에 악의적인 스크립트를 삽입하는 공격 기법을 말합니다. 즉, 권한이 없는 사용자가 악의적인 용도로 웹 사이트에 스크립트를 삽입하는 공격 기법을 말합니다. 주로 여러 사용자...

Session 대신 JWT를 이용해 로그인 기능을 구현해보자. JWT의 장점 인증(Authorization)은 크게 세션 기반과 토큰 기반으로 나뉩니다. 세션 기반 사용자의 인증 정보가 서버 메모리(= 세션 저장소)에 저장되는 방식으로 로그인 시 사용자의 인증 정보를 세션 저장소에 저장하고 Session ID 라는 식별...

redis 모듈에 대해 알아보자. Redis (Remote Dictionary Server) Redis란 메모리 기반의 Key - Value 구조 데이터 관리 시스템입니다. 즉, 쿼리를 사용할 필요가 없습니다. 모든 데이터를 메모리에 저장하고 조회하기 때문에 Read, Write 속도가 빠른 비 관계형 데이터베이스입니다. 특징...