February 2021
Beginner to intermediate
252 pages
5h 36m
Korean
Content preview from 컨테이너 보안: 컨테이너화된 응용 프로그램의 보안을 위한 개념, 이론, 대응법과 모범 관행까지
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
14.7 교차 사이트 스크립팅(XSS)
233
14.7
교차 사이트 스크립팅(
XSS
)
XXE
처럼 이 위험 범주도 응용 프로그램 수준에서 작용하므로, 즉 응용 프로그램이 컨테이너
에서 실행되든 아니든 동일하게 적용되므로, 컨테이너에 특화된 사항은 없다. 컨테이너 이미지
스캐너를 이용해서 응용 프로그램이나 의존요소들에
XSS
관련 취약점이 있는지 찾아보아야
할 것이다.
14.8
안전하지 않은 역직렬화
안전하지 않은 역직렬화 (
insecure
deserialization
) 위험은 교묘하게 작성한 데이터를 공격
자가 응용 프로그램에 입력해서 응용 프로그램의 오작동 (사용자에게 추가적인 권한을 부여하
거나. 공격자가 원하는 방식으로 행동하게 만드는 등 )을 유발하는 것을 말한다. (개인적으로
필자는
2011
년에 씨티은행(
Citibank
)의 고객으로서 이 공격을 직접 체험한 적이 있다. 당시
씨티은행 사이트에는 로그인된 사용자가 그냥
URL
만 수정해서 다른 사용자의 계좌에 접근할
수 있는 취약점 (
https
://
oreil
.
ly
/
EsgO
7
)이 있었다. )
일반적으로 이 위험 역시 응용 프로그램이 컨테이너에서 실행되느냐 아니냐와는 무관하지
만, 컨테이너와 관련해서 공격의 영향을 줄이는 데 도움이 되는 몇 가지 접근 방식은 있다.
●
OWASP
는 이 공격에 대한 방지책의 일환으로, 역직렬화를 수행하는 코드를 격리해서
권한이 낮은 환경에서 실행하라고 권고한다. 그러한 격리의 한 방법은 역직렬화 단계를
전용 컨테이너 마이크로서비스에서 실행하는 것이다. ...