저장소

1. SSRF (Server-Side Request Forgery)1.1 개념 비유마치 누군가가 내 대신 전화를 걸어 “내 번호”가 아닌 “내 전화기”를 통해 통화하도록 속이는 것과 같습니다.서버가 외부 URL을 요청해 주는 기능(fetch(), HttpClient 등)을 악용내부망(사설 IP), AWS/GCP 메타데이터 서버 등에 마음대로 접근1.2 공격 흐름사용자가 ?url=http://example.com 같이 URL을 입력서버는 검증 없이 전달받은 URL로 요청공격자는 url을 http://169.254.169.254/latest/meta-data/로 바꿔 내부 정보 조회1.3 예시 코드 (Node.js)// 취약: 검증 없이 fetchapp.get('/proxy', async (req, res)..

1. 시큐어 코딩 개요 * 공급망 보안보안 사고 사례 분석과 교훈:계정 관리 미흡 관련 사고 교훈: 정기적인 계정 감사, 접근 제한, 보안 시스템 상시 모니터링 필요주기적인 계정 관리 부재로 SQL 인젝션 공격에 취약침입 탐지/차단 시스템 운영 미흡외부에서 관리자 사이트 접근 가능취약한 인증 시스템 관련 사고 교훈: 다중 인증(MFA) 구현, 직원 정보 보호 강화 필요단순 ID/비밀번호 인증만 사용임직원 메일 주소 노출솔라윈즈 공급망 공격 교훈: 공급망 보안 관리, 코드 서명 보안 강화 필요신뢰할 수 있는 업데이트에 악성코드 삽입코드 서명 인증서 유출SQL 인젝션 공격 도구들SQLMap, Mole, Havij 등 자동화 도구가 존재하여 공격이 더욱 쉬워짐데이터베이스 전체가 유출될 수 있으며, 오프라인 패..