OpenTRS: 프론트엔드 개발자라면 지금 바로 알아야 할 Front-End 취약점 극복 방안

 

이름	OpenTRS: 프론트엔드 개발자라면 지금 바로 알아야 할 Front-End 취약점 극복 방안
일시	2023년 9월 14일 (목) 16:00 ~ 19:00
장소	더에셋빌딩 18층 (네이버D2SF) , 서울 서초구 서초대로74길 14
홈페이지	https://event-us.kr/theori/event/69964
일정

<프론트엔드 보안 위협 어떻게 극복할까?>

Part 1. Securing the Front Lines: Protecting Front-End Applications from Overlooked Vulnerabilities

• 왜 지금 Front-End 취약점이 중요할까요?
• Real world에서 발견된 Front-End 취약점 사례를 살펴보고
• 대응 자동화 방안 시연(데모)합니다
• Front-End security 에서 빼놓을 수 없는 "CSP" 에 대해서도 짚어드려요!

* nodejs 환경변수에 있는거 번들링 할 때 다 주입되나?
ex) process.env.TOKEN
* nextjs의 _buildManifest.js 안에 들어있는 routing navigation은 다 보인다.
* 디버깅을 위한 source map -> 위험하다고 하는데 외부 공개가 얼마나 위험한지?
-> apm 툴을 이용해서 source map을 넣어 디버깅하는게 best practice

* Content integrity (CSP, SRI)
-> src 태그에 integrity hash 하드코딩 하는 이유
-> 근데 로드하지 못하는 경우가 있는 리스크
-> headless browser 를 통해 먼저 스캐닝하고 시뮬레이션 해보고 가용성 확보해라.
CSP를 통한 외부 도메인으로부터 불러온 리소스 디텍션.

 

 

Part 2. How (Not) to Sandbox Node.js: vm2 Postmortem

• vm2 라이브러리 구현을 분석하고
• vm2 취약점의 case study를 해봅니다.
• vm2 사용 사례와
• vm2를 통해 OSS 의존성 및 공급망 보안 문제를 살펴봅니다

* vm 안에 어떠한 context라도 넣으면 
-> js로 만들어진 js패키지는 안전할 수 없다고 생각한다고함.
vm2를 사용하는 라이브러리를 사용하는 라이브러리 쓰면 개발자 잘못?
Q) 그럼 보안담당자가 어떻게 사전감지?
A) 현실적으로 모두 audit하는건 불가능..deploy cycle에 security가 들어가야 하는 것아닌가

Part 3. 보안적 관점에서의 Front-End 자격증명 정보 관리와 브라우저 데이터 저장소 선택의 장/단점

• 적절한 자격 증명 정보 관리와 브라우저 데이터 저장소 선택이 중요한 이유는 무엇일까요?
• Front-End 자격 증명 정보 관리와 브라우저 데이터 저장소 선택의 장단점을 살펴보고
• 공격 시나리오로 인해 발생 가능한 문제(Front-End 자격증명 정보 관리 취약점)의 장단점과 해결 방안을 제시합니다.

* JWT
* cookie, local-storage, session-storage 
* XSS는 아실거고..CSRF 아시나요