SQL Injection
문자열 결합과 쿼리 구조 변조
Prepared Statement, 입력 검증, DB 권한 최소화로 답한다.
DB 접근 피해
XSS
브라우저에서 스크립트 실행
출력 인코딩, CSP, HttpOnly 쿠키를 함께 쓴다.
세션 탈취 위험
CSRF
인증된 사용자의 의도치 않은 요청
CSRF 토큰, SameSite, Referer 검증을 묶는다.
상태 변경 요청
IDOR
객체 식별자만 바꿔 권한 우회
서버 측 소유권 검증과 접근통제 로그를 강조한다.
인가 실패
파일 업로드
악성 파일 저장과 실행
확장자, MIME, 매직바이트, 저장 위치, 실행권한을 분리한다.
웹셸 위험