IDOR2 🔐 내 정보는 내가 지킨다! URL 파라미터 대신 세션을 사용해야 하는 이유 (IDOR 취약점) 안녕하세요, 개발자 여러분! 오늘은 웹 애플리케이션에서 정말 흔하게 발견되지만, 한번 터지면 걷잡을 수 없는 보안 취약점과 그 해결 방법에 대해 이야기해보려고 합니다. 👨💻 최근 코드 리뷰를 하다가 다음과 같은 수정 사항을 발견했다고 상상해 보세요.// 수정 전 (Before) 👎// const { userId } = req.params;// 수정 후 (After) 👍const { userId } = req.session; 단 한 줄의 변화. 하지만 이 작은 차이가 여러분의 서비스를 지옥에서 구해낼 수도 있습니다. "이게 왜 더 안전한 건가요?"라는 질문에 명쾌한 해답을 얻고 싶다면, 이 글을 끝까지 주목해주세요! 🚀 🤔 문제의 시작: URL에서 사용자 ID를 가져온다고?먼저, 문제가 되는 .. 2025. 10. 4. 🚪"출입금지" 팻말이 무색할 때: OWASP A5:2017 - 취약한 접근 통제(Broken Access Control) 안녕하세요! 👋 웹 보안의 경계를 지키는 여러분, 오늘은 2017년 OWASP Top 10에서 5위를 차지했지만, 2021년에는 무려 1위로 등극한 가장 치명적이고 흔한 취약점, A5: 취약한 접근 통제(Broken Access Control)에 대해 알아보겠습니다. "넌 들어올 수 없어!"라고 외쳐야 할 시스템이 제 역할을 못 할 때 어떤 일이 벌어지는지, 그 원인과 해결책을 지금부터 샅샅이 파헤쳐 보겠습니다! 🔑🤔 취약한 접근 통제란 무엇인가요?접근 통제(Access Control)란, 인증된 사용자가 특정 기능이나 데이터에 접근할 권한이 있는지 확인하고 강제하는 정책입니다. 쉽게 말해 '누가 무엇을 할 수 있는가'를 통제하는 시스템의 경비원이죠. 👮 취약한 접근 통제는 바로 이 경비원이 졸.. 2025. 8. 16. 이전 1 다음
