웹 보안은 요청, 상태, 전송, 기록 지점을 나눠 본다
HTTP 메서드 암기에서 끝내지 말고 입력값, 쿠키·세션, TLS·헤더, 오류·로그가 어디서 실패를 막는지 연결한다.
검증 대상 위치를 먼저 잡는다.
Secure, HttpOnly, SameSite와 만료 정책을 본다.
중간 탈취와 브라우저 노출을 줄인다.
상세 오류는 감추고 공격 징후는 남긴다.
| 구분 | 의미 | 판단 |
|---|---|---|
| GET 노출 | URL에 민감값 노출 가능 | 조회와 민감 변경 요청을 구분한다. |
| 쿠키 속성 | 세션 탈취 방지 | Secure/HttpOnly/SameSite 누락 여부 확인 |
| 로그 | 대응 근거 | 접속 IP, URI, 상태코드, 시간대를 보존 |
핵심 웹 구조 문제는 클라이언트와 서버 사이에서 값이 어디에 저장되고 어디로 노출되는지 추적하면 풀린다.