지난 멘토링 때, 2주차 멘토링 전까지 최소 70% 정도 서비스 구현을 하기로 했습니다.
본인은 인프라 Terraform 코드 작성 및 구성도 작성 역할을 진행하였습니다.
다른 팀들도 거의 구현이 완료되었고, AWS CodeDeploy와 Github Actions를 사용하여 CI/CD 자동배포 파이프라인을 구축하였습니다.
90% 이상 구현이 완료되었으며, 이번 멘토링은 취약점을 중심으로 멘토링을 진행했습니다.
1. JWT 토큰 파기
- JWT는 서버에 부하를 거의 주지 않으며, 다양한 기기에서 사용할 수 있는 장점이 존재
- 그러나 JWT는 브라우저에서 관리(stateless)하므로, 서버 측에서 강제로 만료시킬 수 없음 -> 로그아웃이 안될 수 있음
- 블랙리스트 방식 등의 접근법 검토
2. 레이스 컨디션 취약점
- Burp Suite에서 패킷을 병렬로 전송하여 테스트 가능
- 환자 번호 생성 로직 등에서 테스트 해 볼 만함
3. 마이페이지
- 보통 마이페이지는 접근 전 비밀번호를 다시 입력하도록 설계
- 개인정보 보호
- 추가 인증
- 세션 탈취 가능성 방어
4. 웹 에디터
- 웹 에디터에서 나타날 수 있는 취약점이 있으므로 추가 고려
5. 진단 기준
- 주로 주요정보통신기반시설 기술적 취약점 분석 평가 가이드 (이하 주통기)로 진행
- 자체적으로 기준을 설계해도 되나, 기존 가이드 사용 고려
6. SSRF
- 외부에서 직접 접근이 제한된 내부 서버 자원에 악의적 요청을 보내는 공격
- 대응 방안은 간접 참조를 할 수 있도록 로직 작성
7. 인증과 인가의 차이
- 인증: 사용자의 신원을 확인 (누군데)
- 인가: 사용자의 액세스 권한 확인 (뭘 할 수 있는데)
다음 멘토링 전까지 웹/모바일 진단 리스트와 점검을 수행하기로 했습니다.
다만, 인프라는 보통 설정과 관련된 것이며 자동화를 돌리기 때문에 범위에 포함할 것인지 팀 내에서 논의를 진행하기로 했습니다.
댓글