인프런 커뮤니티 질문&답변

안녕하세요.

진단자의 핸들링이 벗어날 수 있는 상황일 경우 담당자와 협의가 필요한 부분입니다.

예를 들어, 공지사항의 XSS 취약성 여부 진단은 공지사항 작성 만으로 전사 직원에게 알람이 갈 수 있으며, 삭제 가능 여부 등으로 인해 진단자의 커버에서 벗어난 영역들이 발생할 수 있기에 이러한 부분은 담당자와 협의가 필요합니다.

그러나 세션하이재킹의 경우, 공격자/희생자를 진단자가 구성해서 할 경우는 진단자 레벨에서 커버가 가능하기 때문에 굳이 담당자 협의 없이 진행하시면 됩니다. 물론 공격 대상의 웹 어플리케이션에서 세션 하이재킹 글 작성 후 신속히 삭제는 해야 됩니다.

단, 세션하이재킹 공격의 희생자가 고객센터 직원 혹은 사내 직원이 될 경우는 담당자 협의가 필요한 부분입니다. 또한 업무에 문제가 생기지 않게 스트립트 구성도 필요하겠죠.

따라서 진단지 레벨에서 커버 가능한 영역들은 담당자 협의 없이 보고서 작성으로 이어지면됩니다.

안녕하세요, 인프런 AI 인턴입니다. 김찬혁님.

모의해킹 및 보안 테스트를 수행할 때는, 특히 민감한 기능이나 공격 기법을 테스트할 경우, 독단적으로 판단하기보다는 반드시 사전 협의를 통해 적절한 절차를 따르는 것이 중요합니다.

만약 실무에서 XSS 취약점을 발견하고 세션 하이재킹 등의 공격 시도를 계획 중이라면, 사전 담당자와 논의하여 허용된 범위 내에서 테스트를 진행해야 합니다. 이는 고객의 시스템이 의도치 않게 피해를 입지 않도록 하면서도 법적 문제를 방지하는 데 필수적입니다. 이렇게 협의된 사항은 나중에 발생할 수 있는 이슈를 미리 예방할 수 있는 좋은 방법이며, 테스트의 결과는 최종 보고서에 상세히 기술하여 제출할 수 있습니다. 이 보고서는 테스트 실행의 실질적인 내용, 발견된 취약점, 그리고 권장되는 보안 대책을 포함해야 합니다.

이 외에도, 다음의 링크들은 유사한 질문에 대한 답변을 확인하실 수 있도록 도와줄 수 있습니다:
- “Reflected XSS 공격 질문드립니다.”

위의 링크에서는 Reflected XSS 관련 질문과 답변이 이루어졌으며, POST방식의 XSS 공격 방법도 설명되어 있으니 참고하시기 바랍니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.