1. 웹쉘 공격

🗡  파일업로드를 할 때 해킹이 가능한 파일을 업로드 하고 실행하도록 해서 해당 컴퓨터에 해킹을 하는 방법

🛡  서버가 돌아가는 컴퓨터와 파일이 올라가는 저장소를 분리

1. SQL 인잭션

🗡  글쓰기 기능에 다른 데이터베이스 실행 코드를 심어서 다른 민감 데이터(다른 유저 정보나 민감 정보) 탈취하는 방법

🛡  브라우저에서 들어오는 값에 연결되는 SQL이 없도록 인터페이스 분리

1. javascript 쿠키 탈취 인잭션

🗡  글쓰기 기능에 실행 가능한 자바스크립트 코드를 심어서 다른 사람이 그 글의 내용을 볼 경우 코드가 실행되어 다른 사람의 정보(관리자 접속 정보등)를 탈취하는 방법

🛡  글쓰기 기능에서 들어오는 값을 순수 문자열로 치환해서 관리

1. 데이터 베이스 공격

🗡  우리 데이터를 저장하는 데이터 베이스에 다른 사람이 직접 접근하여 데이터를 가져가는 방법

🛡 데이터 베이스에 접근이 제한 되도록 별도 아이디 패스워드 부여

🛡 데이터 베이스 주소 자체를 개인정보관리 담당자 이외 비공개 관리

🛡 데이터 베이스에 접근 할수 있는 IP 주소를 제한 → 웹 어드민을 통해서만 접근이 가능하도록

1. DDOS 공격

🗡  비정상적으로 많은 요청을 한번에 보내에서 서버 환경에 부하를 주는 방법

🛡 서비스에서 aws Lambda(serverless) 를 사용하여 많은 요청에 대해 웹어플리케이션 부하 이슈가 없도록 하고 AWS API Gateway 가 기본으로 제공하는 DDOS 에 대한 방어 시스템을 따릅니다.