이름 | OpenTRS: 프론트엔드 개발자라면 지금 바로 알아야 할 Front-End 취약점 극복 방안 |
일시 | 2023년 9월 14일 (목) 16:00 ~ 19:00 |
장소 | 더에셋빌딩 18층 (네이버D2SF) , 서울 서초구 서초대로74길 14 |
홈페이지 | https://event-us.kr/theori/event/69964 |
일정 |
<프론트엔드 보안 위협 어떻게 극복할까?>
Part 1. Securing the Front Lines: Protecting Front-End Applications from Overlooked Vulnerabilities
- 왜 지금 Front-End 취약점이 중요할까요?
- Real world에서 발견된 Front-End 취약점 사례를 살펴보고
- 대응 자동화 방안 시연(데모)합니다
- Front-End security 에서 빼놓을 수 없는 "CSP" 에 대해서도 짚어드려요!
* nodejs 환경변수에 있는거 번들링 할 때 다 주입되나?
ex) process.env.TOKEN
* nextjs의 _buildManifest.js 안에 들어있는 routing navigation은 다 보인다.
* 디버깅을 위한 source map -> 위험하다고 하는데 외부 공개가 얼마나 위험한지?
-> apm 툴을 이용해서 source map을 넣어 디버깅하는게 best practice
* Content integrity (CSP, SRI)
-> src 태그에 integrity hash 하드코딩 하는 이유
-> 근데 로드하지 못하는 경우가 있는 리스크
-> headless browser 를 통해 먼저 스캐닝하고 시뮬레이션 해보고 가용성 확보해라.
CSP를 통한 외부 도메인으로부터 불러온 리소스 디텍션.
Part 2. How (Not) to Sandbox Node.js: vm2 Postmortem
- vm2 라이브러리 구현을 분석하고
- vm2 취약점의 case study를 해봅니다.
- vm2 사용 사례와
- vm2를 통해 OSS 의존성 및 공급망 보안 문제를 살펴봅니다
* vm 안에 어떠한 context라도 넣으면
-> js로 만들어진 js패키지는 안전할 수 없다고 생각한다고함.
vm2를 사용하는 라이브러리를 사용하는 라이브러리 쓰면 개발자 잘못?
Q) 그럼 보안담당자가 어떻게 사전감지?
A) 현실적으로 모두 audit하는건 불가능..deploy cycle에 security가 들어가야 하는 것아닌가
Part 3. 보안적 관점에서의 Front-End 자격증명 정보 관리와 브라우저 데이터 저장소 선택의 장/단점
- 적절한 자격 증명 정보 관리와 브라우저 데이터 저장소 선택이 중요한 이유는 무엇일까요?
- Front-End 자격 증명 정보 관리와 브라우저 데이터 저장소 선택의 장단점을 살펴보고
- 공격 시나리오로 인해 발생 가능한 문제(Front-End 자격증명 정보 관리 취약점)의 장단점과 해결 방안을 제시합니다.
* JWT
* cookie, local-storage, session-storage
* XSS는 아실거고..CSRF 아시나요
'테크 행사' 카테고리의 다른 글
PostgreSQL Meetup SEOUL (0) | 2024.10.24 |
---|---|
인포그램 x GitLap DevOps 밋업 (1) | 2024.10.24 |
Microsoft X GitHub Roadshow 2023 (0) | 2024.10.24 |
HashiCorp Strategy Day 2023 (4) | 2024.10.24 |
오라클 밋업 - 올리브영 사례 (1) | 2024.10.24 |