민감한 데이터 노출

민감한 데이터

• 개인정보(주민등록번호, 카드 정보, 사생활 관련 정보 등)
• 로그인에 사용되는 정보 (패스워드, 세션 ID, 세션 토큰 등)
• 비공개로 관리되는 정보 (업무상 기밀 등)

민감한 데이터 노출

:데이터가 적절하게 암호화되어 있지 않거나 평문으로 저장되어 노출되는 경우

• HTTP 프로토콜을 사용하여 민감한 데이터가 전송되는 경우
• 민감한 데이터가 평문으로 저장되는 경우
• 안전하지 않은 암호화 방식을 사용하는 경우

HTTP 프로토콜에 의한 노출

:HTTP 프로토콜로 전달되는 요청과 응답 메시지들이 네트워크 스니핑에 의해 도청됨

 

네트워크 스니핑
:네트워크에 전송되는 데이터들을 모니터링하는 기술, 일종의 도청
ex) tcpdump, 와이어샤크

-HTTPS 프로토콜을 이용하여 데이터가 암호화되어 전송되도록 구현

웹 스토리지를 통한 노출

:웹 스토리지에 저장된 데이터를 XSS 취약점이 존재할 때 데이터를 자바스크립트를 사용하여 읽을 수 있는 경우

 

웹 스토리지
:웹 애플리케이션이 사용자의 웹 브라우저에 데이터를 저장할 수 있는 기능 (이전에는 쿠키를 사용해서 데이터를 저장했음)
더 큰 데이터를 저장할 수 있고, 데이터를 매번 서버로 전달하지 않아도 된다는 장점이 있다.

세션 스토리지: 세션이 종료되면 데이터도 함께 삭제된다.
로컬 스토리지: 세션이 종료되어도 삭제 요청을 하기 전까지는 데이터가 남아있다.

-민감한 데이터를 쿠키를 통해 전달하도록 하고 해당 쿠키에 HTTPOnly 플래그를 추가

평문으로 된 패스워드 노출

:사용자의 계정 패스워드가 웹 페이지 내에서 평문으로 저장되어 패스워드가 노출될 가능성이 존재하는 경우

-민감한 데이터를 저장할 때에는 데이터들을 암호화하여 저장해야 함