monologue/업무 노트

웹 취약점 분석 및 조치 (매개변수 조작 취약점)

진행한 업무 중 웹 취약점으로 평가되어 조치를 진행한 업무에 대해 간단히 기록하고자 합니다. 취약점 조치 방법 취약점 조치는 위험 수용, 위험 예외, 위험 조치 세 가지로 분리할 수 있고, 각각의 의미는 다음과 같습니다. 위험 수용 : 문제를 해결하지 않고 수용한다. 위험 예외 : 문제가 아닌 것으로 판단하고 예외 처리한다. 위험 조치 : 문제를 해결해서 취약점을 제거한다. 취약점으로 평가된 문제점은 XSS, 부적절한 오류 처리(톰캣 버전 노출), 매개변수 조작 문제 등이 있었습니다. 이를 조치하느냐 수용하느냐는 여러 상황(context) 아래에 판단을 할 수 있는데, 각 문제에 대한 risk값을 매기는 척도가 있습니다. 본인은 이 중 매개변수 조작 문제만 위험 조치로 판단하고 해결하는 것을 진행하였습니..