** 📌웹 보안 기초**

실무 웹 서비스에서 반드시 고려해야 할 2가지 핵심 보안

🛡️ 세션 고정(Session Fixation) 공격 방지

🔐 비밀번호 암호화(SHA256/Bcrypt) 구현 전략

---

🧩 목차

1. 세션 고정(Session Fixation) 공격이란?
2. 세션 고정 공격 방지 방법
3. 비밀번호 암호화란?
4. SHA-256 vs Bcrypt 비교
5. Java 암호화 구현 예제
6. 실무 보안 팁
7. 기술 면접 대비 핵심 요약
8. 마무리 요약 + Notion 작성 팁

---

✅ 1. 세션 고정(Session Fixation) 공격이란?

항목	설명
정의	공격자가 특정 세션 ID를 미리 고정시켜 사용자에게 사용하도록 유도 후, 해당 세션으로 접근하는 공격
방식	사용자가 로그인했는데, 공격자가 같은 세션 ID로 접근 가능해짐
피해	다른 사람의 계정으로 로그인 없이 접근 가능 (권한 탈취)

---

✅ 2. 세션 고정 방지 방법

🔁 로그인 성공 시 세션을 강제로 새로 발급 (세션 초기화 → 재생성)

HttpSession oldSession = request.getSession(false);
if (oldSession != null) {
    oldSession.invalidate(); // 기존 세션 제거
}

// 새 세션 생성 후 로그인 정보 저장
HttpSession newSession = request.getSession(true);
newSession.setAttribute("loginId", userid);

🛡️ 효과

공격자가 세션을 미리 알아도, 로그인 후 세션이 바뀌므로 무력화됨

---

✅ 3. 비밀번호 암호화란?

항목	설명
정의	평문 비밀번호를 해시함수로 변환하여 저장하고 비교하는 방식
목적	DB가 유출돼도 비밀번호는 노출되지 않도록 보호
절대 금지	❌ 평문 비밀번호 저장, 비교하지 말 것!

---

✅ 4. SHA-256 vs Bcrypt 비교

알고리즘	특징	보안성	사용 용도
SHA-256	단방향 해시 함수, 빠름	중간 (salt 필요)	기본 암호화
Bcrypt	느리지만 salt 자동 포함, 반복 적용	매우 높음	실전 서비스 권장

📌 실무에서는 Bcrypt 사용 권장, 연습이나 간단한 앱은 SHA-256도 OK

---

✅ 5. Java 암호화 구현 예제

---

🔐 SHA-256 해시화 예제

public class EncryptUtil {
  public static String sha256(String pw) throws Exception {
    MessageDigest md = MessageDigest.getInstance("SHA-256");
    byte[] hash = md.digest(pw.getBytes("UTF-8"));

    StringBuilder hexString = new StringBuilder();
    for (byte b : hash) {
      String hex = Integer.toHexString(0xff & b);
      if (hex.length() == 1) hexString.append('0');
      hexString.append(hex);
    }
    return hexString.toString();
  }
}

---

✅ 사용 예 (가입/로그인 시)

String inputPw = request.getParameter("userpw");
String hashedPw = EncryptUtil.sha256(inputPw);

---

🔐 Bcrypt 사용 예 (라이브러리 필요: BCrypt)

// 비밀번호 저장 시
String hashedPw = BCrypt.hashpw(rawPw, BCrypt.gensalt());

// 로그인 시 비교
boolean match = BCrypt.checkpw(inputPw, hashedPw);

---

✅ 6. 실무 보안 팁 🛡️

항목	내용
로그인 시 세션 재발급	Session Fixation 방지 (invalidate → 재발급)
DB에 암호화된 비밀번호 저장	평문 저장 금지!
Bcrypt은 salt 포함 → 보안성 ↑	반복 계산으로 brute-force 공격 방지
에러 메시지 구체적으로 X	“로그인 실패”라고만 출력 (ID, PW 구분 안 함)

---

✅ 7. 기술 면접 대비 핵심 요약 💬

질문	요점 정리
세션 고정 공격이란?	미리 고정된 세션 ID로 공격자가 접근하는 방식
방지 방법은?	로그인 시 세션 초기화하고 재발급
SHA-256과 Bcrypt 차이는?	SHA-256은 빠름, Bcrypt은 느리지만 salt 포함, 보안 ↑
왜 평문 저장이 위험한가요?	DB 유출 시 그대로 노출되므로 반드시 해시화 필요

---

✅ 8. 마무리 요약 🧠

• 🛡️ 세션 고정 공격은 반드시 invalidate() + getSession(true)로 방어
• 🔐 비밀번호는 절대 평문 저장 금지!
• ✅ 실무에서는 Bcrypt, 연습에선 SHA-256 사용
• 👮 로그인 시 보안성 확보는 사용자 신뢰를 위한 필수 요소