HTTP 요청이 서버와 DB를 지나 응답으로 돌아오는 동안 쿠키, 세션, 인증, 인가가 상태를 만들고 SQL Injection, XSS, CSRF가 그 틈을 노립니다.
GET/POST 의미와 민감정보 전송 조건을 구분합니다.
쿠키는 식별자를 들고 세션은 서버 쪽 상태를 관리합니다.
입력값이 SQL 구문으로 해석되지 않게 파라미터화합니다.
사용자 입력이 스크립트로 실행되지 않도록 이스케이프합니다.
사용자 의도 없는 요청을 토큰과 SameSite로 줄입니다.
POST라도 암호화가 없으면 민감정보 보호가 되지 않습니다.
로그인 여부와 실제 접근 권한은 다른 검사입니다.
자산, 위협, 취약점, 대응을 주기적으로 갱신합니다.