요청 지점별 방어 키워드

요청 처리 방어 흐름

입력

허용 형식, 길이, 범위를 서버에서 검증합니다.

Prepared Statement로 질의 구조와 데이터를 분리합니다.

응답

문맥별 인코딩, CSP, 쿠키 속성으로 브라우저 실행 위험을 낮춥니다.

권한

객체 ID와 역할, 허용 필드를 서버 기준으로 검증합니다.

토큰

JWT 서명, 만료시간, 민감정보 포함 여부를 확인합니다.

기록

인증 실패, 권한 거부, 호출량 초과를 탐지 기준으로 남깁니다.

입력값 검증, Prepared Statement, 오류 메시지 제한, DB 권한 최소화를 함께 씁니다.

출력값 인코딩, CSP, HttpOnly·Secure 쿠키, WAF 모니터링으로 정리합니다.

IDOR와 Mass Assignment는 서버 측 인가와 허용 필드 목록을 중심으로 설명합니다.

해시, 전자서명, PKI, MFA는 제공하는 보안 속성과 검증 주체를 구분합니다.