e228faabf5
G-1: 메신저 Webhook Relay + _send_to_room 실제 httpx 호출 구현 G-2: POST /api/tasks/bulk SR 대량작업 엔드포인트 (최대 100건) G-3: 라이선스 만료 알림 스케줄러 (매일 09:00 KST) G-4: 체험판 upgrade_banner 필드 + license.py 배너 로직 G-5: core/auto_rca.py + incidents/problem auto-rca 엔드포인트 G-6: core/deploy_impact.py + vibe impact-analysis 엔드포인트 G-7: core/ticket_classifier.py + SR 생성 시 AI 분류 + ai-suggestion API G-8: VulnPatchRecord 모델 + vuln_scan 패치추적 4개 엔드포인트 G-9: core/jira_sync.py + gateway Jira/Confluence 연동 엔드포인트 G-10: core/push_notify.py + routers/push.py + PushSubscription 모델 G-11: approvals 다중승인 (위임/서명/기한초과/마감연장) G-12: alembic.ini + migrations/ + cicd/migrate_to_postgres.sh 하네스: guardia-orchestrator 확장기능 Phase 반영 봇명령어: /sr /status /license /bulk 슬래시 명령어 추가 설치스크립트: setup/ (Ubuntu, CentOS, RHEL, Windows) --test 옵션 포함 Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
62 lines
1.7 KiB
Markdown
62 lines
1.7 KiB
Markdown
# 보안 취약점 패턴 참조
|
|
|
|
## CRITICAL 패턴
|
|
|
|
| 패턴 | 언어 | 예시 |
|
|
|------|------|------|
|
|
| SQL 인젝션 | Java/PHP/Python | `"SELECT * FROM users WHERE id = " + userId` |
|
|
| 하드코딩 패스워드 | ALL | `password = "secret123"` |
|
|
| 하드코딩 API 키 | ALL | `API_KEY = "sk-..."` |
|
|
| 원격 코드 실행 | Python/PHP | `eval(user_input)`, `exec($cmd)` |
|
|
| OGNL 인젝션 | Java | Struts2 취약 패턴 |
|
|
|
|
## HIGH 패턴
|
|
|
|
| 패턴 | 언어 | 설명 |
|
|
|------|------|------|
|
|
| XSS | JS/PHP | `innerHTML = userInput`, `echo $input` |
|
|
| CSRF 없음 | Web | form 태그에 토큰 없음 |
|
|
| 패스워드 평문 저장 | ALL | bcrypt/argon2 미사용 |
|
|
| SSL 검증 비활성화 | Python | `verify=False` |
|
|
| User Enumeration | ALL | 로그인 실패 시 구체적 에러 |
|
|
|
|
## MEDIUM 패턴
|
|
|
|
| 패턴 | 설명 |
|
|
|------|------|
|
|
| 취약한 암호화 | MD5, SHA1 사용 |
|
|
| DEBUG 모드 활성화 | 프로덕션 DEBUG=True |
|
|
| 상세 에러 노출 | 스택트레이스 외부 노출 |
|
|
| 세션 관리 미흡 | 세션 고정, 짧은 만료 없음 |
|
|
|
|
## 개선 방안 템플릿
|
|
|
|
### SQL 인젝션 수정 (Java)
|
|
```java
|
|
// 취약
|
|
String sql = "SELECT * FROM users WHERE name = '" + name + "'";
|
|
// 안전
|
|
PreparedStatement ps = conn.prepareStatement("SELECT * FROM users WHERE name = ?");
|
|
ps.setString(1, name);
|
|
```
|
|
|
|
### 패스워드 해싱 (Python)
|
|
```python
|
|
# 취약
|
|
if user.password == request.password:
|
|
# 안전
|
|
from passlib.context import CryptContext
|
|
pwd_context = CryptContext(schemes=["bcrypt"])
|
|
if pwd_context.verify(request.password, user.password):
|
|
```
|
|
|
|
### XSS 방지 (JavaScript)
|
|
```javascript
|
|
// 취약
|
|
element.innerHTML = userInput;
|
|
// 안전
|
|
element.textContent = userInput;
|
|
// 또는
|
|
element.innerHTML = DOMPurify.sanitize(userInput);
|
|
```
|