코딩 이래요래

Q. Spring 기반 웹 애플리케이션에서 발생할 수 있는 4가지 주요 보안 공격 (CSRF, XSS, 세션 고정, JWT 탈취)에 대해 설명하고, 각각에 대한 Spring Security 또는 일반적인 대응 전략을 설명하세요.CSRF (Cross-Site Request Forgery, 사이트 간 요청 위조) 사용자가 의도하지 않은 요청을 서버로 보내게 하는 공격공격자는 피해자의 인증 정보(세션, 쿠키) 를 악용해 특정 행위를 실행시킴예) 사용자가 로그인한 상태에서 악성 페이지 방문 → 자동으로 송금 요청 전송Spring Security 대응 방법1. CSRF 토큰 사용 (기본 활성화)@Configuration@EnableWebSecuritypublic class SecurityConfig { @O..

Q. 세션 기반 인증과 토큰 기반 인증의 차이점과 각각의 보안 고려사항에 대해 설명하세요. 세션 기반 인증 (Session-based Authentication) 서버가 사용자 로그인 정보를 서버 메모리 또는 DB에 저장하여 상태를 유지사용자는 로그인 시 Set-Cookie로 전달된 세션 ID를 브라우저 쿠키에 보관흐름 사용자 로그인서버가 세션 ID 생성 + 저장세션 ID가 쿠키에 저장되어 이후 요청마다 전송서버는 세션 ID로 사용자 식별장점브라우저 친화적, 구현이 단순서버가 직접 상태를 관리하므로 보안 제어가 쉬움보안 고려사항세션 탈취(세션 하이재킹) 위험 존재 → HTTPS 필수세션 고정 공격 대비 위해 매 로그인 시 새로운 세션 ID 발급 필요서버 확장 시 세션 클러스터링 필요 (Sticky Ses..