실용적인 보안 코딩

불충분한 로깅 및 모니터링

로깅과 모니터링은 이미 문제가 발생한 후에나 고려하는 경우가 많지만, 실제로는 적절한 로깅과 모니터링이 이루어지지 않으면 막대한 비용이 발생할 수 있습니다. 극단적인 예로, 보안과 관련된 인시던트가 발생했을 때 로그가 거의 없거나 전혀 없으면 실제로 무슨 일이 일어났는지 파악할 수 없게 됩니다. 다른 극단적인 예로, 너무 많은 데이터를 기록하면 개인정보 보호 문제가 발생하여 규제 기관에 문제를 일으킬 수 있습니다. 불충분한 로깅 및 모니터링을 피하기 위한 모범 사례에 대한 가이드라인을 읽어보세요.

알려진 취약점이 있는 구성 요소 사용

대부분의 애플리케이션은 대량의 타사 컴포넌트를 사용합니다. 이러한 구성 요소는 로깅, 템플릿, 데이터베이스 액세스 등 모든 것을 제공합니다. 따라서 소프트웨어 개발이 훨씬 쉬워지고 많은 시간을 절약할 수 있습니다. 하지만 이러한 컴포넌트도 사람이 만든 것이기 때문에 일부에는 필연적으로 취약점이 있을 수 있습니다. 자세한 내용은 가이드라인을 참조하세요.

SQL 주입

SQL 인젝션(SQLi)은 SQL 문에 코드를 삽입하여 애플리케이션에서 중요한 정보를 공격하고 수집합니다. 웹 보안 취약점입니다. 데이터베이스를 조작하여 중요한 정보를 추출하는 가장 일반적인 해킹 기법입니다.

서버 측 요청 위조

서버 측 요청 위조 취약점은 사용자가 애플리케이션이 공격자가 지정한 도메인에 HTTP 요청을 하도록 만들 수 있을 때 발생합니다. 애플리케이션이 사설/내부 네트워크에 액세스할 수 있는 경우 공격자는 애플리케이션이 내부 서버에 요청을 하도록 만들 수도 있습니다. 이 가이드 라인에서 실제로 어떻게 작동하는지 더 잘 이해하기 위해 몇 가지 예를 통해 자세히 살펴보겠습니다.

보안 구성 오류

보안 설정 오류는 잘못된 코드가 아닌 애플리케이션의 구성 설정으로 인해 발생하는 일반적인 취약점을 포괄하는 용어입니다. 이는 광범위한 주제이며 기술 스택과 같은 요인에 따라 크게 달라집니다. 이러한 문제를 해결하는 것은 구성 파일이나 코드 한 줄을 변경하는 것처럼 간단해 보이지만, 이러한 취약점으로 인한 영향과 결과는 심각할 수 있습니다. 이 취약점에 대한 자세한 내용과 취약점을 완화하는 방법을 알아보려면 가이드라인을 읽어보세요.

비밀번호 저장

애플리케이션이 사용자를 인증하는 경우, 비밀번호도 처리할 가능성이 높습니다. 사용자 비밀번호를 처리하는 것은 정말 큰 문제이며, 이를 적절하게 처리하는 것은 더 큰 문제입니다. 애플리케이션이 공격을 받아 사용자 비밀번호가 인터넷을 통해 모든 사람이 볼 수 있도록 유출되는 것보다 더 나쁜 시나리오는 상상하기 어렵습니다. 비밀번호를 모범 사례에 따라 안전하게 보관하려면 어떻게 해야 할까요? 몇 가지 방법을 살펴보겠습니다.

보안 구성 오류 - XXE 상세 정보

"XML 외부 엔티티"(XXE) 취약성 클래스는 XML 파서와 관련된 보안 구성 오류입니다. XML 표준에는 파일 및 URL과 같은 '엔티티'를 참조하는 방법이 포함되어 있습니다. 파서가 외부 엔티티를 완전히 해석하는 것이 기본값인 경우가 많기 때문에 XML 문서가 잠재적인 공격자에게 파일 및 기타 민감한 정보를 노출할 수 있습니다. 자세한 내용은 전체 가이드라인을 참조하세요.

질량 할당

대량 할당은 API 엔드포인트가 사용자가 관련 객체의 어떤 속성을 수정할 수 있는지 제한하지 않는 취약점입니다. 이 취약점은 HTTP 매개변수를 모델에 자동으로 바인딩한 다음 유효성 검사 없이 계속 사용할 수 있는 라이브러리/프레임워크를 사용할 때 발생할 수 있습니다. 요청에서 객체에 대한 자동 바인딩을 사용하는 것은 때때로 매우 유용할 수 있지만, 모델에 사용자가 액세스할 수 없는 속성이 있는 경우 보안 문제가 발생할 수도 있습니다. 자세한 내용은 가이드라인을 참조하세요.

주입 - 경로 탐색

경로 통과는 또 다른 매우 일반적인 유형의 인젝션 취약점입니다. URL, 파일 경로 등 URI를 구성할 때 완전히 확인된 경로가 의도한 경로의 루트 외부를 가리키지 않도록 제대로 보장하지 않을 때 발생하는 경향이 있습니다. 경로 트래버스 취약점의 영향은 트래버스가 발생하는 컨텍스트와 전반적인 강화 정도에 따라 크게 달라집니다. 자세한 내용은 가이드라인을 참조하세요.

인젝션 - XSS

XSS라고도 하는 크로스 사이트 스크립팅은 다른 사용자의 브라우저에서 공격자가 제어하는 스크립트가 평가되도록 하는 또 다른 유형의 인젝션 취약점입니다. XSS는 HTML/JavaScript 인젝션 취약점이라고도 할 수 있습니다. 발생할 수 있는 XSS의 유형을 살펴보겠습니다.

파일 업로드

애플리케이션에서 사용자가 애플리케이션 내 어딘가에 파일을 업로드(사용 또는 저장용)할 수 있도록 허용해야 하는 경우가 매우 흔합니다. 이 기능은 간단해 보이지만 파일 업로드 처리 방식과 관련된 잠재적 위험으로 인해 이 기능을 구현하는 방식이 매우 중요할 수 있습니다. 자세한 내용은 가이드라인을 참조하세요.

주입 101

가장 잘 알려진 취약점 유형 중 하나는 인젝션 취약점이며, 특히 놀랍게도 누구도 부인할 수 없는 포스터 자식인 인젝션 취약점입니다: SQL 인젝션입니다. 기술 업계에서 SQL 인젝션에 대한 이야기를 피하기는 어렵기 때문에 오늘은 이에 대해 이야기해 보려고 합니다. 인젝션 결함에 대한 간략한 소개를 읽어보세요.

인증 및 권한 부여

명령 주입

명령 인젝션 자체에 대해 살펴보겠습니다. 명령 인젝션이 실제로 어떻게 작동하는지 쉽게 알 수 있도록 몇 가지 예시를 중심으로 살펴보겠습니다. 간단히 정리하자면, 명령 인젝션 취약점은 사용자 입력이 운영 체제 명령의 일부를 사용할 때 발생합니다. 자세한 내용은 가이드라인을 참조하세요.