보안 수업 실습에서 인젝션·인증 취약점 직접 테스트 — 개념 이해 + 보고 방식 연습
웹 보안 수업에서 의도적으로 취약하게 만든 실습 환경에서 API 취약점 점검을 직접 해봤습니다. 인증 토큰을 조작하거나 파라미터를 바꿔서 권한 없는 데이터에 접근이 되는지 확인하는 방식이었습니다. 처음에 토큰을 수정했는데 서버가 정상 응답을 해서 인증 검증이 실제로 없었다는 걸 확인했고, 그게 꽤 충격적이었습니다. 그 실습에서 인증 누락이 얼마나 쉽게 생기는지를 직접 경험했습니다. 발견한 취약점을 리포트로 작성하는 과제도 있었는데, 처음 쓴 리포트가 설명이 너무 기술적이라서 "영향이 무엇인지 먼저 써야 한다"는 피드백을 받았습니다. 실무에서 점검 결과를 전달하는 방식도 기술 지식만큼 중요하다는 걸 그때 배웠습니다.