2025년 3월 회고
요약
- [완료] 보안취약점 점검
- [진행] 모바일 앱 개발
보안취약점 점검
올해도 역시나 공문이 날아왔다.
보안 취약점 점검 및 조치^^
사용자에 대한 요청사항을 빠르고 명확하게 처리하는 것도 중요하지만, 보안은 당연하면서도 가장 중요하다고해도 과언이 아닌 요소라고 생각된다.
아무리 빠르고 정확한 프로그램을 만들어도 보안이 취약하여 사용자 정보가 쉽게 변조되거나 악용된다면 과연 그건 올바른 개발일까.. 좋은 개발일까 의문이 든다.
공문을 통해 받은 점검 사항은 까다롭다.
상세 내용을 작성하긴 어렵지만, 간단하게 몇가지 요약해서 작성해봤다.
1. URL 파라미터 변조
- URL을 통한 파라미터 변조하여 인가 받지 않은 정보를 유출하거나 악용하는 것
ex) test.jsp?id=user1 → test.jsp?id=admin
2. 세션 관리
- 로그인할 때마다 새로운 세션값을 발급하는 것이 아니라, 세션 타임아웃값을 과도하게 높게 설정하여 공격자가 만료되지 않은 세션을 탈취하는 취약점
3. 쿠키값 변조
- 쿠키를 통해 인증하는 방식에 대하여 변조를 통해 권한이 상승 되는 취약점
4. 디폴트 계정 사용
- test, admin, administrator, root와 같이 유추 가능한 취약 계정에 대한 무차별 대입 공격을 통해 PW 누출 가능 취약점
5. SQLInjection, XSS(크로스 사이트 스크립팅)
[Java] SQL Injection 및 XSS 방지를 위한 SecurityUtil 클래스
[Java] SQL Injection 및 XSS 방지를 위한 SecurityUtil 클래스
작년쯤 처음이자 마지막으로 SQL Injection 공격을 받은 후에 보안에 대한 중요성을 다시한번 느끼게 되었다.웹 애플리케이션을 개발할 때 SQL Injection과 XSS(크로스 사이트 스크립팅) 공격을 방지하
hmw0908.tistory.com
모바일 앱 개발
iOS 18.3.1버전으로 업데이트 되면서 기존 제공하던 앱 서비스가 보안 정책에 의하여 수정이 필요했다.
현재는 안드로이드와 iOS에 대한 네이티브 앱으로 구현 되어 있다. 그렇기 때문에 하나의 모바일 앱을 두 개의 운영체제로 개발해야 하는 번거로움을 해소하기 위해 크로스 플랫폼을 이용하여 신규 앱을 개발하는 토이 프로젝트를 진행하려고 한다.
2025년 3월 기준으로 서칭한 결과 추세는 페이스북의 리액트 네이티브 였는데, 요즘은 구글에서 출시한 플러터가 앞서고 있다고한다. 결론적으로 플러터를 사용하여 진행하기로 했는데, 장점도 있고 단점도 있는 것으로 확인했다.
해당 부분은 진행하며 글 작성할 예정이다.
웹 개발만 하다가 앱 개발을 하려니까 설렘이 가득가득하다. 물론 진행하면서 다양한 오류사항과 문제가 발생하겠지만^^.. 그건 개발자 숙명이라고 생각하기 때문에 이 또한 즐기자 ㅋ
마무리
2025년도 1분기 벌써 끝났다..
시간 너무 빠르다 ㅠ
'Dev > 회고' 카테고리의 다른 글
| [회고] 정신없이 지나간 2월 (2) | 2025.03.26 |
|---|---|
| [회고] 1월, 2025년은 처음이라 (1) | 2025.02.13 |
| [회고] 안녕~ 2024년 12월 (1) | 2025.01.08 |
| [회고] 2024년 11월 (2) | 2024.11.22 |
| [회고] 우리 인생 처음이자 마지막 2024년 10월 (0) | 2024.10.24 |