웹 보안 원인 분류

HTTPS XSS CSRF 위협 경로

웹 보안이 중요하다는 말만 반복하면 공격을 구분하기 어렵다. HTTPS는 전송 중 도청과 변조를 막고, XSS는 브라우저에서 악성 스크립트가 실행되는 문제이며, CSRF는 로그인된 브라우저가 의도치 않은 요청을 보내는 문제다.

01

전송 경로 확인

네트워크 중간에서 읽히거나 바뀌는 문제라면 HTTPS와 인증서 설정을 먼저 본다.

mixed content는 보호 경계를 낮춘다
02

실행 위치 확인

사용자 입력이 브라우저에서 스크립트로 실행되면 XSS를 의심한다.

저장형과 반사형, DOM 기반을 나눈다
03

쿠키 자동 전송 확인

공격 페이지가 피해자 브라우저로 요청을 보내고 쿠키가 붙는 구조면 CSRF를 본다.

SameSite와 CSRF token이 핵심이다
04

서버 쿼리 확인

입력이 SQL 문법으로 섞여 조건을 바꾸면 SQL Injection이다.

prepared statement가 기본 방어다
05

방어 매칭

공격 경로를 끊는 직접 방어책인지 확인하고 범용 보안 문구를 걸러낸다.

암호화가 XSS를 직접 막지는 않는다
HTTPS
전송 보호 서버 인증, 암호화, 무결성으로 중간자 공격을 줄인다.
인증서 만료와 HSTS를 확인한다
XSS
브라우저 코드 실행 출력 인코딩, CSP, sanitizer, HttpOnly 쿠키로 피해를 줄인다.
입력 차단만으로 충분하지 않다
CSRF
세션 요청 위조 CSRF token, SameSite, Origin/Referer 검증으로 의도치 않은 요청을 막는다.
쿠키 인증에서 특히 중요하다
SQLi
쿼리 변조 파라미터 바인딩과 최소 권한 DB 계정으로 방어한다.
문자열 escape만 믿지 않는다

보안 확인

증거 분리 지문이나 로그에서 실행 위치와 피해 대상을 먼저 표시한다.
쿠키 조건 SameSite, Secure, HttpOnly가 공격별로 어떤 역할을 하는지 확인한다.
직접 방어 선택한 대응이 공격 경로를 직접 끊는지 검토한다.