인증과 인가를 분리
로그인 성공은 신원 확인이고, 특정 자원 접근 허용은 별도의 권한 판단입니다.
인증 실패 401 / 인가 실패 403
웹 취약점에서 암호와 관리로 이어지는 길
웹 공격, 암호 기술, 보안 관리는 인증과 데이터 보호라는 하나의 흐름으로 만납니다.
입력과 출력 위치 확인
SQL Injection은 쿼리 조작, XSS는 브라우저 실행, CSRF는 요청 위조로 구분합니다.
SQLi / XSS / CSRF
목적별 기술 선택
기밀성은 암호화, 무결성 확인은 해시·MAC, 부인방지는 전자서명으로 연결합니다.
대칭키 / 공개키 / 해시
위험과 대응 절차로 마무리
위협, 취약점, 위험을 구분하고 침해사고 대응 단계로 답안을 닫습니다.
식별 -> 분석 -> 대응 -> 복구
SQLi 대응Prepared Statement, 입력값 검증, DB 최소권한을 함께 씁니다.
XSS 대응문맥별 출력 인코딩과 CSP, HttpOnly를 구분해 설명합니다.
위험 용어위협은 원인, 취약점은 약점, 위험은 피해 가능성입니다.
앞으로의 웹보안, 암호학, 관리보안 장은 서로 끊어진 과목이 아니라 데이터와 신뢰를 지키는 연속된 답안 재료입니다.