Useful Information for Reference During Development

 

1. 웹 취약점 대응
a. 파일 업로드 변조 : S3 확장자 Whitelist 적용
b. 쿠키 및 세션 타임아웃 : 적절한 만료시간 설정 필요. IBM 권고 사항은 2주
c. 불필요한 HTTP METHOD 지원 : cors 설정에서 불필요한 method는 노출 되지 않게 설정
d. S3 비정상적인 접근시 에러 정보 노출 : Cloudfront Custom Error Page 설정
e. 자동화 공격 : 특정 HTTP METHOD 대상으로 웹서버 분당 X회 속도 제한 적용 (Nginx Rate Limit)

 

2. 비밀번호 암호화

a. DB에 비밀번호를 암호화하여 저장

b. Random Salt 값도 저장하여 Hash

c. 위 방법으로 look-up table, collision 공격 비효율적으로 만드는 것이 목표

 

3. OAuth

a. Google OAuth Production 심사는 매우 오래 걸리니 미리 심사 요청 필요

b. 로그인 했을 때, 다른 기기, 다른 브라우저의 중복 로그인을 막기 위해 기존 세션을 초기화 필요

c. IBM의 세션 유지 기간은 2주

 

4. Third Party

a. 서버 기동시 최초 1회 Third Party 연결 시도 후, 에러 발생시 서버 Shutdown 처리 하여 싱크율 향상 필요

 

5. Query

a. Slow Query Logging 설정 필요

b. Table Index 설정 필요

c. 대용량 페이지네이션 Query는 Cursor 방식 필요

 

6. XSS

a. Lucy Filter 같은 Library 적용

b. Request Class의 Field에 @JsonDeserialize Annotation으로 XssStringDeserializer 와 같은 Custom Deserializer 적용