즐겁게, 코드

📣 알림 : 이 글은 'HTML블럭' 기능을 활용해 XSS 스크립팅의 위험성을 전달하기 위한 목적으로 작성되었으며,이 글의 정보들은 독자의 노트북에서만 재생될 뿐 서버로 전달되지 않습니다.오랜만에 티스토리에 글을 쓰려 했는데 "HTML블럭" 이라는 새로운 기능이 보였다. 조금 살펴보니 HTML + CSS + JS를 게시물 내에서 실행할 수 있도록 해주는데, 아마 codepen 등 코드 작성 솔루션을 대체할 수 있도록 만들어준 것으로 추측된다. 본래의 목적으로 사용하면 멋진 인터렉션이나 CSS 애니메이션 등의 튜토리얼과 함께 데모를 제공하는 용도로 사용할 수 있다. AAPL 181.16 -1.36 (-0.67%) ..

S3 버킷에 담긴 데이터(객체)의 암호화는 크게 "서버에서 암호화하느냐, 클라이언트에서 암호화하느냐" 로 나뉩니다. 서버 사이드 암호화 (SSE) 서버 사이드 암호화 방식에는 크게 SSE-S3, SSE-KMS, SSE-C 의 3종류가 존재합니다. SSE-S3 SSE-S3는 AWS에서 제공 / 관리되는 키를 통해 데이터를 암호화하는 방법입니다. 암호화 방법은 정말 간단한데요, 버킷에 객체를 업로드할 때 헤더에 "x-amz-server-side-encryption": "AES256" 키-값 쌍을 추가해 업로드하면 자동으로 S3에서 제공되는 키를 통해 암호화됩니다. ✅ 헤더에 추가하는 값을 보면 추측할 수 있듯, SSE-S3는 AES256 암호화 알고리즘을 사용합니다. SSE-KMS SSE-KMS는 AWS K..

태그를 활용할 때 새 창에서 페이지를 이동하기 위해서는 target="_blank" 라는 속성을 활용합니다. 네이버로 이동! 그런데, 이 속성에 보안 문제가 숨어있다는 사실을 알고 계신가요? Tabnabbing 공격 window.opener 라는 전역 객체는 현재 창을 열었던 이전 창의 참조를 반환합니다. 그런데 해커들이 기가 막힌 방법을 고안해냈는데요, 이 window.opener의 location을 피싱 사이트의 주소로 바꿔치기하는 것입니다. 그러면 원래 사이트는 피싱 사이트로 변하게 되고 사용자는 별 의심 없이 정보를 건네주게 되는 것이죠. 간단 시연 _blank 속성으로 새 탭에서 네이버에 들어간 뒤, 네이버에서 window.opener.location 속성을 조작해 이전 탭을 피싱 사이트로 바꿔..