SQL 인젝션 직접 발견 + 세션·입력 검증·HTTPS 순으로 실무 경험 설명
학교 보안 수업과 사이드 프로젝트를 하면서 웹 보안 취약점을 처음 체계적으로 공부했습니다. 직접 만든 로그인 페이지에서 SQL 인젝션이 가능하다는 걸 테스트 중에 발견했고, 파라미터화 쿼리로 바꿔서 막았습니다. 세션 관리 쪽에서는 HttpOnly와 Secure 플래그를 쿠키에 추가하고, 세션 고정 공격을 막기 위해 로그인 성공 시 세션 ID를 갱신하는 방식을 적용했습니다. 입력 검증은 프런트엔드와 백엔드 양쪽에서 모두 처리해야 한다는 걸 배웠는데, 클라이언트 검증만 믿으면 우회가 가능합니다. 전송 구간에서는 HTTPS와 HSTS 헤더를 적용해 중간자 공격을 방어하는 구성을 익혔습니다.
보안은 기능을 다 만든 뒤 추가하는 게 아니라 처음 설계할 때부터 고려하는 자리라는 걸 그때부터 생각합니다.