1. OAuth 2.0관련
🌐 OAuth 2.0 개념 - 그림으로 이해하기 쉽게 설명
OAuth란? 웹 서핑을 하다 보면 Google과 Facebook 등의 외부 소셜 계정을 기반으로 간편히 회원가입 및 로그인할 수 있는 웹 어플리케이션을 쉽게 찾아볼 수 있다. 클릭 한 번으로 간편하게 로그인할
inpa.tistory.com
세팅 사항
https://adjh54.tistory.com/645
[OpenSource] Keycloak 이해하기 -1 : 주요 기능, 구성 요소, 로그인 과정
해당 글에서는 오픈소스인 Keycloak의 이해를 돕기 위해 구성 요소, 주요 기능, 로그인 과정들을 통해 이해를 돕기 위해 작성한 글입니다. 💡 [참고] Keycloak 초기 구성에서부터 활용방법에 대해
adjh54.tistory.com
https://lucas-owner.tistory.com/79
[Spring boot] OAuth2: Authorization-Server (인증 서버 구축)(1)
OAuth2: Authorization-Server (인증 서버) 개요요즘 사용하는 대부분의 web, app 에서는 사용자를 인증 하고 그에 맞는 권한을 부여하여 자원에 접근가능하게 한다.이러한 인증, 인가는 보안에 있어서 가
lucas-owner.tistory.com
*Keycloak이란?
Keycloak은 오픈소스 Identity and Access Management (IAM) 솔루션
인증(Authentication)과 인가(Authorization)를 외부에서 대신 처리해주는 Identity Provider (IdP) 역할
-> Authorization 서버를 keyclock으로 대체하면 실습은 쉽지만 원하는대로 코드 수정 및 취약점 직접 분석이 힘들 수 있음. 오픈소스 라이브러리(실제 구글, 네이버와 같은 사이트 Oauth 서버 관련) 를 활용해서 직접 구축시 세팅은 더 까다롭지만 나중에 용이
CVE
1. CVE- 2025 - 54576 (OAuth2-Proxy: 인증 우회)
- 영향 대상: 오픈소스 인증 프록시 도구
Oauth-Proxy(v.7.10.0 및 이하)
- 취약 내용: skip_auth_routes 설정에서 정규표현식 을 URI 전체에 매칭함으로써 인증이 제거될 수 있음. 이는 쿼리를 조작하여 보호된 리소스에 무단 접근 가능하게 함.
- 해결책: 정규표현식 사용 시 쿼리 제거, 엄격한 패턴 토입
확장 방향
- SSO(Single Sign-On) 보안 → OpenID Connect(OIDC) 취약점까지 확장
- JWT 관련 CVE → JWT 서명 검증 우회, none 알고리즘 공격, 키 혼동(key confusion)
- 모바일 앱 → 앱에서 OAuth 토큰 처리 시 보안 취약점 (Deep Link, AppAuth)
- 클라우드 환경 → GCP/Azure/AWS의 OAuth 기반 API 접근 제어 실수
2. jenkins
1) Jenkins + Git 취약점
- 시나리오: Jenkins가 가져오는 Git 저장소 자체가 취약
- 예시: CVE-2025-48384 (Git CLI Arbitrary File Write)
- 공격자가 악성 Git Repo를 만들어 Jenkins가 git clone할 때 파일이 덮어써짐
- 결과: Jenkins 빌드 환경 내 코드 실행/파이프라인 변조
- 체인 흐름
- Jenkins 취약점 → Credential 탈취
- 악성 Repo 삽입 (Git 취약점 이용)
- 빌드 오염 + Registry 전파5)
* 멀티-CVE 체인
- Step 1 (OAuth 취약점): OAuth Proxy 인증 우회로 Jenkins 콘솔 접근
- Step 2 (Jenkins 취약점): Jenkins CVE로 크리덴셜 탈취
- Step 3 (Git 취약점): 악성 Repo로 Jenkins 빌드 환경 장악
- Step 4 (Registry 취약점): 오염 이미지가 Registry에서 퍼짐
- Step 5 (최종): 운영 배포서버까지 전파
시스템
ivani vpn 취약점