전송 구간
중간에서 읽거나 바꾸지 못하게 통신 자체를 보호합니다.
- HTTPS
- HSTS
- 안전한 쿠키 속성
공격 이름보다 요청 구간별 방어선을 빠짐없이 세운다
XSS, SQL Injection, CSRF는 서로 다르지만 모두 입력, 인증, 전송, 데이터 접근 중 어딘가의 약한 경계를 노립니다.
입력 구간
사용자 값은 코드가 아니라 데이터로만 처리되도록 검증합니다.
- 입력 검증
- 출력 이스케이프
- Prepared Statement
요청 신뢰
정상 사용자의 의도인지, 자동화된 공격인지 구분합니다.
- CSRF 토큰
- SameSite
- Rate Limit
운영 감시
뚫리지 않는다는 가정보다 이상 징후를 빨리 보는 체계를 둡니다.
- 로그
- 알림
- 보안 업데이트