어떤 사이트든지 가장 흔하면서도 심각한 것이 SQL 인젝션, XSS, CSRF 같은 일반적인 취약점들이지요. 똑같은 종류의 취약점이라도 많은 돈이 걸려 있거나 많은 사람의 개인정보가 유출되면 피해가 커집니다. SQL 인젝션은 그나마 막기 쉬운 편이지만 XSS와 CSRF는 제대로 된 프레임워크를 올바르게 사용하지 않으면 꼭 뚫립니다.
코딩 실수 때문에 권한이 없는 유저에게 기능이 노출된다거나... 뭐 찾아보려고 하면 취약점 종류는 한도끝도 없지요. 가장 기본적인 비번 암호화부터 제대로 안 하는 놈들이 널렸는걸요. OWASP Top 10 리스트에 포함된 것들만 잘 살펴봐도 할 일이 넘쳐납니다. 개발팀에 소속된 모든 사람이 처음부터 보안에 신경을 써서 만들지 않았다면 나중에 땜빵하기는 쉽지 않습니다. 땜빵해 놓더라도 나중에 다른 개발자가 건드리면 또 취약점 생기고요.
돈이 오가는 사이트라면 사용자 입력값 검증이 특별히 더 중요할 것 같기도 합니다. 숫자만으로 이루어진 데이터는 인젝션이나 XSS를 일으킬 수 없기 때문에 대강 검증하고 넘어갈 수도 있는데, 사용자에게서 넘어온 값이라면 절대 믿으면 안됩니다. 100만원을 송금하기로 했는데 다음 단계에서 파라미터 하나를 조작하면 1000만원으로 돌변할 수도 있거든요. 아까 나왔던 값이랑 교차검증해야 합니다. ㅎㅎ
어떤 사이트든지 가장 흔하면서도 심각한 것이 SQL 인젝션, XSS, CSRF 같은 일반적인 취약점들이지요. 똑같은 종류의 취약점이라도 많은 돈이 걸려 있거나 많은 사람의 개인정보가 유출되면 피해가 커집니다. SQL 인젝션은 그나마 막기 쉬운 편이지만 XSS와 CSRF는 제대로 된 프레임워크를 올바르게 사용하지 않으면 꼭 뚫립니다.
코딩 실수 때문에 권한이 없는 유저에게 기능이 노출된다거나... 뭐 찾아보려고 하면 취약점 종류는 한도끝도 없지요. 가장 기본적인 비번 암호화부터 제대로 안 하는 놈들이 널렸는걸요. OWASP Top 10 리스트에 포함된 것들만 잘 살펴봐도 할 일이 넘쳐납니다. 개발팀에 소속된 모든 사람이 처음부터 보안에 신경을 써서 만들지 않았다면 나중에 땜빵하기는 쉽지 않습니다. 땜빵해 놓더라도 나중에 다른 개발자가 건드리면 또 취약점 생기고요.
돈이 오가는 사이트라면 사용자 입력값 검증이 특별히 더 중요할 것 같기도 합니다. 숫자만으로 이루어진 데이터는 인젝션이나 XSS를 일으킬 수 없기 때문에 대강 검증하고 넘어갈 수도 있는데, 사용자에게서 넘어온 값이라면 절대 믿으면 안됩니다. 100만원을 송금하기로 했는데 다음 단계에서 파라미터 하나를 조작하면 1000만원으로 돌변할 수도 있거든요. 아까 나왔던 값이랑 교차검증해야 합니다. ㅎㅎ