web security

웹 보안은 요청, 상태, 전송, 기록 지점을 나눠 본다

HTTP 메서드 암기에서 끝내지 말고 입력값, 쿠키·세션, TLS·헤더, 오류·로그가 어디서 실패를 막는지 연결한다.

01 요청 입력Query, Body, Header

검증 대상 위치를 먼저 잡는다.

02 상태 보호Cookie, Session

Secure, HttpOnly, SameSite와 만료 정책을 본다.

03 전송·정책HTTPS, HSTS, CSP

중간 탈취와 브라우저 노출을 줄인다.

04 기록Error, Access log

상세 오류는 감추고 공격 징후는 남긴다.

구분의미판단
GET 노출URL에 민감값 노출 가능조회와 민감 변경 요청을 구분한다.
쿠키 속성세션 탈취 방지Secure/HttpOnly/SameSite 누락 여부 확인
로그대응 근거접속 IP, URI, 상태코드, 시간대를 보존

핵심 웹 구조 문제는 클라이언트와 서버 사이에서 값이 어디에 저장되고 어디로 노출되는지 추적하면 풀린다.