SECURITY CH4
HTTP 요청 구조
HTTP 요청은 요청 라인, 헤더, 본문으로 나뉘며 보안 검토는 모든 입력 지점을 함께 봅니다.
Request Line
POST /login HTTP/1.1처럼 메서드, 경로, 버전을 담습니다.
메서드와 URL 검증
Headers
Host, User-Agent, Content-Type, Cookie 같은 메타 정보를 전달합니다.
쿠키와 헤더 신뢰 금지
Body
로그인 값, 폼 데이터, 업로드 정보처럼 실제 전송 내용을 담습니다.
서버 측 입력 검증
01
URL과 Query
검색어, 정렬 값, 식별자가 공격 페이로드가 될 수 있습니다.
02
Header와 Cookie
세션 ID, 인증 토큰, 사용자 환경 정보가 조작될 수 있습니다.
03
Body와 Upload
폼 값과 파일명, 파일 내용까지 서버에서 다시 확인해야 합니다.