안녕하세요. 구독자님. 여름의 온기만 남은 채 맞이하는 8월의 마지막 날입니다. (발췌: 아내의 일기 📝)
서비스를 출시하는 팀(혹은 회사)에서는 출시 일정에 맞추느라 놓치고 그냥 지나가는 부분이 있어요. 그것은 바로 '보안'인데요. 일정에 맞추어 서비스 출시를 잘 끝낸다고 한들, '보안 이슈'가 한 번 터지면 그에대한 리스크는 엄청 클거에요.
그래서 오늘은 구독자님 서비스의 보안 리스크를 조금이라도 줄여보고자, API 개발을 할 때 발생하는 보안 이슈들을 몇 가지 정리해서 공유를 드려요. 아래에 서술한 내용들을 읽고 "누가 저렇게 개발을해?"라며 생각하실 수 있겠지만, 대형 서비스에서도 종종 발생하고 있는 보안 이슈더라고요.
이 글에서는 API 개발 시 주의해야 할 7가지 주요 보안 이슈에 대해 알아보고, 각 이슈에 대한 취약한 코드 예시와 대응책을 살펴보겠습니다.
1) 세션 정보 검증 부재
문제점
User ID만으로 사용자 정보를 반환하는 것은 매우 위험합니다. 이는 공격자가 다른 사용자의 정보에 쉽게 접근할 수 있게 합니다.
대응책
댓글
의견을 남겨주세요