직접 경험한 취약점 발견과 조치 과정
최근에 진행한 보안 점검 경험은 개인 포트폴리오 프로젝트에 대한 취약점 셀프 리뷰였습니다. 웹 애플리케이션을 만들면서 배포 전에 OWASP Top 10 기준으로 직접 점검해보았습니다. SQL 인젝션 취약점을 확인하기 위해 입력값 필터링 로직을 검토했고, XSS 취약점은 출력 시 이스케이프 처리가 되어있는지를 확인했습니다.
인증 로직에서 세션 토큰 만료 처리가 제대로 구현되지 않았다는 점을 발견했습니다. 로그아웃 후에도 이전 토큰이 유효하게 남아있는 문제를 수정하면서, 세션 관리의 중요성을 실습으로 배웠습니다. 또 의존성 라이브러리의 알려진 취약점(CVE) 스캔도 진행했는데, 취약한 버전을 쓰고 있다는 걸 발견하고 업데이트했습니다.
자동화 스캐너와 수동 검토의 조합이 효율적인 점검 방법이라는 걸 이 경험에서 배웠습니다.