보안 코딩의 실용적 구현

부족한 기록 및 감시

기록과 감시는 종종 문제가 발생한 후에야 뒷전으로 밀려나지만, 실제로 적절한 기록과 감시를 확보하지 못하면 매우 큰 비용을 초래할 수 있습니다. 한편, 보안 관련 여부를 막론하고 사고 발생 시 로그가 부족하거나 아예 없을 경우 실제 상황을 파악하는 것이 불가능해집니다. 반대로 지나치게 많은 데이터를 기록하면 개인정보 보호 문제가 발생할 수 있으며, 이는 규제 기관과의 분쟁으로 이어질 수 있습니다. 부족한 로그 기록 및 모니터링을 방지하기 위한 모범 사례를 알아보려면 가이드를 참조하십시오.

알려진 취약점을 가진 구성 요소 사용

대부분의 애플리케이션은 다량의 타사 구성 요소를 사용합니다. 이러한 구성 요소는 로깅부터 모델 생성, 데이터베이스 접근 등에 이르기까지 모든 것을 제공합니다. 이는 소프트웨어 개발을 크게 용이하게 하고 많은 시간을 절약해 줍니다. 하지만 이들도 사람이 만든 것이므로 일부에는 필연적으로 취약점이 존재할 수밖에 없습니다. 자세한 내용은 가이드를 참조하세요.

주입 SQL

SQL 인젝션(SQLi)은 SQL 명령어에 코드를 삽입하여 애플리케이션으로부터 중요한 정보를 공격하고 수집하는 기술입니다. 이는 웹 보안 취약점이며, 데이터베이스를 조작하여 핵심 정보를 추출하는 가장 흔한 해킹 기법입니다.

보안 설정 오류

보안 설정 오류는 일종의 포괄적 용어로, 잘못된 코드보다는 애플리케이션의 구성 설정으로 인해 발생하는 일반적인 취약점을 포괄합니다. 이는 기술 인프라와 같은 요소에 크게 좌우되는 매우 다양한 주제입니다. 이러한 문제 해결은 설정 파일 수정이나 단일 코드 줄 변경처럼 간단해 보일 수 있지만, 해당 취약점의 영향과 결과는 심각할 수 있습니다. 이 취약점에 대한 자세한 내용과 완화 방법을 알아보려면 저희 가이드를 참고하세요.

서버 요청 위조

서버 측 요청 위조 취약점은 사용자가 애플리케이션으로 하여금 공격자가 지정한 도메인으로 HTTP 요청을 전송하도록 유도할 때 발생합니다. 애플리케이션이 사설/내부 네트워크에 접근할 수 있는 경우, 공격자는 애플리케이션이 내부 서버로도 요청을 전송하도록 유도할 수 있습니다. 이 지침에서 실제 작동 방식을 더 잘 이해하기 위해 몇 가지 예시를 통해 이를 자세히 살펴보겠습니다.

비밀번호 저장

사용자 인증을 수행하는 애플리케이션이라면, 해당 애플리케이션이 비밀번호도 처리할 가능성이 매우 높습니다. 사용자 비밀번호 관리는 매우 중요하며, 이를 적절히 처리하는 것은 더욱 중요합니다. 애플리케이션이 공격을 받아 사용자 비밀번호가 인터넷에 유출되어 누구나 볼 수 있게 되는 상황보다 더 나쁜 시나리오는 상상하기 어렵습니다. 비밀번호를 안전하게 저장하고 모범 사례에 부합하도록 관리하는 방법은 무엇일까요? 몇 가지 방법을 살펴보겠습니다.

대량 위선

매스 어사인먼트는 API 엔드포인트가 사용자가 수정할 수 있는 연관 객체의 속성을 제한하지 않는 취약점입니다. 이 취약점은 HTTP 매개변수를 모델에 자동 바인딩하고 이를 검증 없이 사용하는 라이브러리/프레임워크를 사용할 때 발생할 수 있습니다. 요청을 객체에 자동 바인딩하는 기능은 매우 유용할 수 있지만, 모델에 사용자에게 노출되어서는 안 되는 속성이 존재할 경우 보안 문제를 야기할 수 있습니다. 자세한 내용은 가이드라인을 참조하십시오.

보안 설정 오류 - XXE 상세 설명

XML 외부 엔티티(XXE) 취약점 클래스는 XML 파서와 관련된 보안 구성 오류입니다. XML 표준은 파일 및 URL과 같은 '엔티티'를 참조하는 방법을 포함합니다. 기본적으로 파서들은 외부 엔티티를 완전히 해결하므로, XML 문서는 잠재적 공격자에게 파일 및 기타 민감한 정보의 유출을 초래할 수 있습니다. 자세한 내용은 전체 지침을 참조하십시오.

주입 - 궤도 교차

경로 탐색(Path Traversal)은 또 다른 유형의 상당히 흔한 주입 취약점입니다. 이는 URI(URL, 파일 경로 등) 생성이 완전히 해결된 경로가 예상 경로 루트 외부로 가리키지 않도록 제대로 보장하지 못할 때 발생하는 경향이 있습니다. 경로 탐색 취약점의 영향은 탐색이 발생하는 맥락과 수행된 전반적인 강화 조치에 크게 좌우됩니다. 자세한 내용은 가이드를 참조하십시오.

인증 및 권한 부여

인젝션 - XSS

크로스 사이트 스크립팅(XSS)은 공격자가 제어하는 스크립트가 다른 사용자의 브라우저에서 실행되도록 하는 또 다른 유형의 인젝션 취약점입니다. XSS는 HTML/JavaScript 인젝션 취약점으로 간주될 수도 있습니다. 이제 여러분이 접할 수 있는 XSS 유형을 살펴보겠습니다.

주입 101

가장 잘 알려진 취약점 범주 중 하나는 일반적으로 인젝션 관련 취약점이며, 특히 누구도 놀라지 않을 만큼 확실한 대표 사례는 SQL 인젝션입니다. 기술계에서 SQL 인젝션에 대한 이야기를 듣지 않는 것은 거의 불가능하므로, 간단히 설명해 보겠습니다. 인젝션 결함에 대한 간략한 소개를 위해 계속 읽어보세요.

파일 다운로드

애플리케이션은 사용자가 애플리케이션 내 어디에서든 파일을 다운로드할 수 있도록 허용해야 하는 경우가 매우 흔합니다(사용하거나 단순히 저장하기 위해). 이는 상당히 간단해 보이지만, 파일 다운로드 관리와 관련된 잠재적 위험으로 인해 이 기능의 구현 방식은 상당히 중요할 수 있습니다. 자세한 내용은 가이드라인을 참조하십시오.

명령어 주입

명령어 주입 자체를 살펴보겠습니다. 주로 몇 가지 다른 예시에 집중하여 실제 작동 모습을 더 쉽게 파악할 수 있도록 하겠습니다. 참고로, 명령어 주입 취약점은 사용자의 입력이 운영체제 명령어의 일부를 활용할 때 발생합니다. 자세한 내용은 해당 지침을 참조하십시오.