FELINE

예약번호 조회 기능에서 다른 사람 예약이 보일 수 있는 취약점

작성자:

예약번호 조회 기능에서 다른 사람 예약이 보일 수 있는 취약점 병원, 미용실, 호텔, 렌터카, 공연장, 강의, 상담센터, 체험 프로그램 같은 서비스에서는 예약번호 조회 기능을 제공하는 경우가 많습니다. 사용자는 예약번호를 입력해 예약 일시, 장소, 신청자명, 결제 상태, 이용 인원, 변경 가능 여부를 확인할 수 있습니다. 회원가입을 하지 않아도 예약 내역을 확인할 수 있어 편리한 기능입니다. 하지만 … 더 읽기

쿠폰 코드 검증 메시지가 공격자에게 힌트가 되는 경우

작성자:

쿠폰 코드 검증 메시지가 공격자에게 힌트가 되는 경우 쇼핑몰이나 예약 사이트, 온라인 강의 플랫폼, 구독 서비스에서는 쿠폰 코드를 자주 사용합니다. 사용자는 결제 단계에서 쿠폰 코드를 입력하고, 할인 금액이나 무료 배송 혜택을 적용받습니다. 운영자 입장에서는 신규 가입, 재구매 유도, 이벤트 참여, 특정 고객 보상, 제휴 마케팅을 위해 쿠폰 기능을 활용할 수 있습니다. 쿠폰 기능은 단순한 할인 … 더 읽기

삭제된 게시글의 이미지 파일이 서버에 그대로 남아 있을 때 생기는 일

작성자:

삭제된 게시글의 이미지 파일이 서버에 그대로 남아 있을 때 생기는 일 웹사이트나 블로그, 커뮤니티를 운영하다 보면 게시글을 삭제하는 일이 생깁니다. 잘못 작성한 글을 지우거나, 이벤트가 끝난 글을 정리하거나, 사용자가 직접 올린 글을 삭제하는 경우가 있습니다. 관리자는 게시글이 화면에서 사라졌기 때문에 관련 자료도 함께 사라졌다고 생각하기 쉽습니다. 하지만 실제로는 게시글 본문만 삭제되고, 글에 첨부했던 이미지 파일은 … 더 읽기

검색 기능에서 관리자용 키워드가 자동완성으로 보이는 문제

작성자:

검색 기능에서 관리자용 키워드가 자동완성으로 보이는 문제 웹사이트나 앱에는 검색 기능이 자주 들어갑니다. 쇼핑몰에서는 상품명을 검색하고, 커뮤니티에서는 게시글을 검색하며, 고객센터에서는 문의글을 찾고, 관리자 페이지에서는 회원이나 주문, 예약, 상담 내역을 검색합니다. 검색 기능은 원하는 정보를 빠르게 찾기 위한 기본 기능입니다. 검색 기능을 더 편하게 만들기 위해 자동완성 기능을 붙이는 경우도 많습니다. 사용자가 몇 글자만 입력해도 관련 … 더 읽기

페이지네이션 숫자 조작으로 숨겨진 데이터가 노출될 수 있는 이유

작성자:

페이지네이션 숫자 조작으로 숨겨진 데이터가 노출될 수 있는 이유 웹사이트나 관리자 페이지를 사용하다 보면 목록 하단에 페이지 번호가 있는 경우가 많습니다. 게시글 목록, 상품 목록, 주문 목록, 회원 목록, 문의 내역, 예약 내역처럼 데이터가 많을 때 한 화면에 모두 보여주지 않고 여러 페이지로 나누어 보여주는 기능입니다. 이것을 페이지네이션이라고 합니다. 페이지네이션은 사용성 측면에서 꼭 필요한 기능입니다. … 더 읽기

회원 탈퇴 후에도 첨부파일 URL이 계속 열리는 경우

작성자:

회원 탈퇴 후에도 첨부파일 URL이 계속 열리는 경우 웹사이트나 앱을 운영하다 보면 사용자가 직접 파일을 올리는 기능이 들어가는 경우가 많습니다. 게시판 첨부파일, 문의글 이미지, 프로필 사진, 이력서, 증빙서류, 후기 사진, 과제 파일, 계약서, 상담 자료 등이 대표적입니다. 사용자는 자신의 계정으로 로그인한 뒤 파일을 업로드하고, 서비스 안에서 해당 파일을 확인하거나 다운로드합니다. 문제는 사용자가 회원 탈퇴를 했는데도 … 더 읽기

비밀번호 재설정 링크가 너무 오래 살아 있을 때 생기는 위험

작성자:

비밀번호 재설정 링크가 너무 오래 살아 있을 때 생기는 위험 웹사이트나 앱을 이용하다 보면 비밀번호를 잊어버리는 일이 자주 있습니다. 이때 대부분의 서비스는 비밀번호 재설정 기능을 제공합니다. 사용자가 이메일 주소나 휴대폰 번호를 입력하면 재설정 링크가 발송되고, 그 링크를 눌러 새 비밀번호를 설정하는 방식입니다. 비밀번호 재설정 기능은 사용자 편의에 꼭 필요합니다. 고객센터에 문의하지 않아도 계정을 다시 사용할 … 더 읽기

관리자용 엑셀 다운로드 기능에서 개인정보가 과하게 내려받아지는 문제

작성자:

관리자용 엑셀 다운로드 기능에서 개인정보가 과하게 내려받아지는 문제 웹사이트나 쇼핑몰, 예약 시스템, 커뮤니티, 교육 플랫폼을 운영하다 보면 관리자 페이지에서 엑셀 다운로드 기능을 제공하는 경우가 많습니다. 회원 목록, 주문 내역, 문의 내역, 예약자 명단, 수강생 목록, 이벤트 신청자 정보 등을 엑셀 파일로 내려받아 관리하기 위해서입니다. 엑셀 다운로드 기능은 운영자에게 매우 편리합니다. 화면에서 하나씩 확인하지 않아도 많은 … 더 읽기

임시 점검 페이지에 남은 서버 상태 정보가 공격 단서가 되는 경우

작성자:

임시 점검 페이지에 남은 서버 상태 정보가 공격 단서가 되는 경우 웹사이트를 운영하다 보면 임시 점검 페이지를 만들 일이 있습니다. 사이트 개편 중이거나 서버 이전을 진행할 때, 결제 모듈을 교체할 때, 데이터베이스 연결 상태를 확인할 때, 또는 장애 복구 중일 때 운영자는 임시로 점검 페이지를 띄워둡니다. 방문자에게는 “점검 중입니다”라는 안내를 보여주고, 내부 운영자는 서버가 정상적으로 … 더 읽기

개발용 API 키가 깃허브에 올라갔을 때 벌어질 수 있는 일

작성자:

개발용 API 키가 깃허브에 올라갔을 때 벌어질 수 있는 일 웹사이트나 앱을 개발하다 보면 API 키를 사용하는 일이 많습니다. 지도 API, 결제 API, 문자 발송 API, 이메일 발송 API, 클라우드 저장소, 번역 API, 인공지능 API, 소셜 로그인, 배포 자동화 도구 등 외부 서비스와 연결할 때 API 키가 필요합니다. API 키는 서비스가 “누가 요청하는지”를 식별하고, 사용 … 더 읽기