문제 정의
웹 애플리케이션에서 OWASP Top 10 보안 취약점 중 SQL Injection과 XSS 취약점을 사전에 분석하고 이를 해결함으로써 보안 수준을 강화하고, 보안 위협을 예방하며 문제 발생 시 효과적으로 대응할 수 있는 시스템을 구축했습니다.
Burp Suite란?
Burp Suite는 웹 애플리케이션의 보안을 테스트하는 종합적인 취약점 스캐너이자 프록시 도구입니다. 웹 프록시, 웹 스파이더, 스캐너, 인트루더 등 다양한 도구를 포함하고 있으며, SQL 인젝션, XSS 등 다양한 취약점을 식별하는 데 도움을 줍니다.
테스트
1. XSS 테스트
Burp Suite의 Interceptor를 활용하여 OWASP Top 10에 포함된 보안 취약점 중 SQL Injection과 XSS에 대한 분석을 진행했습니다.
XSS 취약점을 확인하기 위해 악성 스크립트를 삽입하고, 웹 애플리케이션의 응답 동작과 그에 따른 취약점을 테스트하였습니다. 이를 통해 스크립트 삽입으로 발생할 수 있는 보안 위협을 점검하였습니다.
XSS 결과
그 결과, 프론트엔드 페이지에서는 취약점이 발견되었으나, 서버로 보내는 요청은 JWT에 포함된 권한에 따라 적절히 차단되어 정상적인 응답을 받을 수 없었습니다.
2. SQL Injection 테스트
SQL Injection 취약점을 확인하기 위해 Burp Suite의 Interceptor를 사용하여 입력값을 조작하고 서버의 응답을 분석하였습니다. 이를 통해 데이터베이스와의 비정상적인 상호작용 가능성을 점검하고 취약점이 발생할 수 있는 영역을 점검하였습니다.
그 결과, SQL Injection은 쿼리문에 $대신 #{ } 머스테치를 사용하여 안전하게 차단되었습니다.
소감
위 과정들을 통해 웹 애플리케이션의 보안 수준을 진단하고, 잠재적인 위협이 존재하더라도 로그를 활용하여 해결 방법을 마련하였습니다. 이를 통해 문제를 사전에 예방하고, 문제가 발생하더라도 효과적으로 대응할 수 있는 방법을 탐구하였습니다. 이렇듯 저는 단편적인 기능 개발에 그치지 않고, 항상 Plan B를 준비하며 프로젝트를 진행하는 것을 선호합니다.
'TIL' 카테고리의 다른 글
| Redis 캐싱 전략 (0) | 2025.02.25 |
|---|---|
| Spring Security6를 활용한 인증 인가 (1) | 2024.12.27 |
| Spring AOP와 예외처리를 활용한 로그 쌓기 (0) | 2024.12.27 |
| Redis와 SMTP를 이용한 임시비밀번호 발급 기능 (0) | 2024.12.27 |
| 사용자 정의 예외 처리 및 서버 응답 구현 (1) | 2024.12.27 |