저장소

1. SSRF (Server-Side Request Forgery)1.1 개념 비유마치 누군가가 내 대신 전화를 걸어 “내 번호”가 아닌 “내 전화기”를 통해 통화하도록 속이는 것과 같습니다.서버가 외부 URL을 요청해 주는 기능(fetch(), HttpClient 등)을 악용내부망(사설 IP), AWS/GCP 메타데이터 서버 등에 마음대로 접근1.2 공격 흐름사용자가 ?url=http://example.com 같이 URL을 입력서버는 검증 없이 전달받은 URL로 요청공격자는 url을 http://169.254.169.254/latest/meta-data/로 바꿔 내부 정보 조회1.3 예시 코드 (Node.js)// 취약: 검증 없이 fetchapp.get('/proxy', async (req, res)..

웹 애플리케이션을 개발하다 보면 사용자 입력값에 특수문자나 유니코드 문자가 포함될 때 예상치 못한 문제가 발생하곤 합니다. 특히 보안과 관련하여 크로스 사이트 스크립팅(XSS) 공격을 방지하면서도 특수문자를 올바르게 처리해야 하는 상황에서는 더욱 주의가 필요합니다.이번 글에서는 제가 최근 경험한 문제와 그 해결 과정을 공유하고자 합니다.      문제 상황 20년이 넘은 웹이 있는데 그곳에서 회사 스팸 필터링 시스템을 운영하고 있습니다. 이 시스템에서 스팸 단어를 등록하고 검색하는 과정에서 다음과 같은 문제가 발생했습니다그리스 문자와 같은 유니코드 문자(예: "νιΡ")가 HTML 엔티티(예: "νιΡ")로 변환되어 저장되는 문제특수문자가 포함된 스팸 단어(예: "[비+&씨]")가 검색되지 않는 문제특수..