보안 테스트 보고서 v1.3 · Greenova 관리자 포털

Executive Summary

심각도별 분포 · CVSS 기준

Critical

CVSS 9.0 ~ 10.0

High

CVSS 7.0 ~ 8.9

Medium

CVSS 4.0 ~ 6.9

Low

CVSS 0.1 ~ 3.9

Info

참고 / 하드닝

대분류별 결함 분포

OWASP Top 10 (2021) 매핑

카테고리	Critical	High	Medium	Low	합계	상태
A01 · Broken Access Control	1	3	2	1	7	FAIL
A02 · Cryptographic Failures	0	0	1	2	3	PASS
A03 · Injection (SQL/XSS)	2	2	3	2	9	FAIL
A04 · Insecure Design	0	0	0	1	1	PASS
A05 · Security Misconfiguration	0	1	2	3	6	WARN
A06 · Vulnerable Components	0	0	2	1	3	WARN
A07 · Auth & Session	0	1	1	2	4	HIGH
A08 · Software/Data Integrity	0	0	1	1	2	WARN
A09 · Logging & Monitoring	0	0	0	1	1	WARN
A10 · SSRF	0	0	0	0	0	PASS

OWASP Top 10 커버리지

2021 Rev. · 10/10 카테고리 점검

A01:2021

Broken Access ControlIDOR · 권한 상승 · 수평/수직 접근 제어

FAIL · 7

A02:2021

Cryptographic FailuresTLS · 민감정보 전송·저장 암호화

PASS

A03:2021

InjectionSQLi · XSS · OS Command · LDAP

FAIL · 9

A04:2021

Insecure Design비즈니스 로직·위협 모델

PASS

A05:2021

Security Misconfiguration기본 설정·디버그 노출·헤더 누락

WARN · 6

A06:2021

Vulnerable & Outdated ComponentsDependency · CVE

WARN · 3

A07:2021

Identification & Authentication세션·MFA·브루트포스

WARN · 4

A08:2021

Software & Data Integrity업데이트·서명·역직렬화

WARN · 2

A09:2021

Security Logging & Monitoring감사 로그·경보

WARN · 1

A10:2021

Server-Side Request Forgery (SSRF)외부 URL 호출·메타데이터 접근

PASS

주요 Finding 상세

Critical 3 · High 7 · Medium 대표 2건 공개

SEC-001 CWE-89 · SQL Injection Critical · CVSS 9.8 A03:2021

즉시 조치담당: BE

관리자 로그인 API — username 파라미터 SQL Injection (Error-based)

대상

POST /api/admin/auth/login
admin.greenova.test

분류

Injection · Authentication Bypass · Data Exposure

재현 절차

① admin.greenova.test/login 접근
② 아이디 입력란에 admin' OR '1'='1'-- 입력, 비밀번호는 임의값
③ 로그인 성공 응답 수신 + 관리자 세션 쿠키 발급 확인
④ sqlmap으로 자동화 검증 시 DB 버전/테이블 목록 덤프 성공

PoC · Request / Response

POST /api/admin/auth/login HTTP/1.1
Host: admin.greenova.test
Content-Type: application/json

{"username":"admin' OR '1'='1'--","password":"anything"}

→ HTTP/1.1 200 OK
Set-Cookie: ADMIN_SESSION=eyJhbGci...; Path=/; HttpOnly
{"ok":true,"role":"SUPER_ADMIN","userId":1}

영향도

① 관리자 인증 완전 우회
② 전체 회원 개인정보 조회·수정 가능
③ DB 테이블 구조 및 데이터 덤프 가능

권고 조치

① Prepared Statement / 파라미터 바인딩 전면 적용
② ORM(MyBatis·JPA) 사용 시 ${} → #{}
③ WAF Rule 추가 (단기 임시 조치)

SEC-002 CWE-639 · Insecure Direct Object Reference Critical · CVSS 9.1 A01:2021

즉시 조치담당: BE

주문 상세 조회 API — orderId 순차 증가로 타인 주문 접근 가능 (IDOR)

대상

GET /api/orders/{orderId}

분류

Authorization Bypass · PII Exposure

재현 절차

① 일반 사용자 A로 로그인 후 본인 주문 orderId=102934 조회
② 동일 세션에서 orderId=102935 변경 호출
③ 타인(사용자 B) 주문 상세 정상 응답 (이름·휴대폰·배송지 포함)

영향도

이름·연락처·주소 등 개인정보 대량 유출 가능. 1 ~ 1,000,000 루프로 스크래핑 가능

권고 조치

① 서버에서 orderId.ownerId == session.userId 검증
② UUID 기반 식별자로 전환
③ 로그 기반 이상 호출 탐지 룰 추가

SEC-003 CWE-287 · Improper Authentication Critical · CVSS 9.0 A07:2021

즉시 조치담당: BE · Platform

관리자 내부 메뉴 — Referer 헤더만으로 인증 판단 (Auth Bypass)

대상

GET /admin/users/export 외 12개 내부 엔드포인트

분류

Broken Authentication · Information Disclosure

재현 절차

① 비로그인 상태에서 curl -H "Referer: https://admin.greenova.test/dashboard" https://admin.greenova.test/admin/users/export
② 세션 쿠키 없이 회원 CSV 파일 응답 수신 (10,248건)

영향도

비인증 상태에서 전체 회원 데이터 덤프 가능 · 개인정보보호법 위반 소지

권고 조치

① Referer 기반 인증 로직 제거
② Spring Security / 게이트웨이에서 세션·JWT 검증으로 일원화
③ 관리자 전용 엔드포인트는 별도 네트워크(내부망·VPN) 분리

SEC-004 CWE-79 · Stored XSS High · CVSS 8.1 A03:2021

2주 내 조치담당: FE · BE

상품 Q&A 본문 저장 XSS — 관리자 답변 화면에서 스크립트 실행

대상

POST /api/products/{id}/qna · 관리자 화면 /admin/qna

재현

본문에 <img src=x onerror=alert(1)> 저장 후 관리자 답변 페이지 진입 시 스크립트 실행

영향도

관리자 세션 탈취 → 관리자 권한 획득 시 SEC-001~003과 연계 시 피해 확대

권고 조치

① 서버 저장 시 DOMPurify / OWASP Java HTML Sanitizer 적용
② 출력 시 컨텍스트별 이스케이프
③ CSP default-src 'self'; script-src 'self' 설정

SEC-005 CWE-384 · Session Fixation High · CVSS 7.5 A07:2021

2주 내 조치담당: BE

로그인 성공 후 세션 ID 미변경 — Session Fixation 취약

재현

로그인 전 JSESSIONID=AAAA 쿠키 상태에서 로그인 후에도 JSESSIONID=AAAA 유지 확인. 공격자가 주입한 세션 ID를 피해자가 사용해 로그인하면 공격자도 동일 세션 사용 가능

권고

로그인 직후 세션 무효화 후 재생성 (session.invalidate() + changeSessionId()). JWT 사용 시 액세스 토큰 회전

검증

로그인 전/후 Set-Cookie 헤더에서 세션 식별자 값이 변경되는지 재검증

SEC-010 CWE-352 · CSRF High · CVSS 7.4 A01:2021

2주 내 조치담당: FE · BE

프로필 변경 API — CSRF 토큰·SameSite 미설정

대상

POST /api/users/profile 외 3건

재현

외부 악성 사이트에서 자동 제출 폼으로 호출 시 세션 쿠키 포함되어 프로필 변경 성공

권고

① 상태 변경 API에 CSRF 토큰(Double Submit) 적용
② Set-Cookie에 SameSite=Lax 이상
③ Origin/Referer 헤더 검증

SEC-014 CWE-693 · Missing Security Headers Medium · CVSS 5.3 A05:2021

1개월 내담당: Platform

주요 보안 헤더 누락 — CSP · HSTS · X-Frame-Options · Referrer-Policy

현황

응답 헤더 점검 결과 아래 6종 미설정 확인
• Content-Security-Policy: 없음
• Strict-Transport-Security: 없음
• X-Frame-Options: 없음
• X-Content-Type-Options: 없음
• Referrer-Policy: 없음
• Permissions-Policy: 없음

권고

Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-{random}'
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=(), geolocation=()

SEC-022 CWE-1104 · Vulnerable Dependency Medium · CVSS 6.1 A06:2021

1개월 내담당: BE

취약 라이브러리 2건 — [email protected] · [email protected]

[email protected]

CVE-2021-3749 (ReDoS) · CVE-2023-45857 (XSRF) · 권고 버전 1.7.x 이상

[email protected]

CVE-2021-23337 (Command Injection) · 권고 버전 4.17.21 이상

권고

npm audit 기준 2건 즉시 업그레이드. CI에 npm audit --audit-level=high 파이프라인 추가

Finding 전체 목록

42건 중 주요 12건 표기 · 전체 상세는 별첨

ID	심각도	제목	OWASP	담당	기한
SEC-001	Critical	관리자 로그인 SQL Injection	A03	BE	즉시
SEC-002	Critical	주문 상세 IDOR (타인 개인정보 노출)	A01	BE	즉시
SEC-003	Critical	Referer 기반 인증 우회	A07	BE/Platform	즉시
SEC-004	High	Q&A 본문 Stored XSS	A03	FE/BE	2주
SEC-005	High	Session Fixation (로그인 후 세션 미변경)	A07	BE	2주
SEC-006	High	수직 권한 상승 (사업자 → 관리자 메뉴 진입 일부 허용)	A01	BE	2주
SEC-007	High	파일 업로드 확장자 검증 미비 (.jsp 차단 불가)	A03	BE	2주
SEC-008	High	브루트포스 제한 미설정 (로그인 · OTP)	A07	BE/Platform	2주
SEC-009	High	API 응답에 DB 쿼리·스택트레이스 노출	A05	BE	2주
SEC-010	High	CSRF 토큰·SameSite 미설정	A01	FE/BE	2주
SEC-014	Medium	주요 보안 헤더 6종 누락	A05	Platform	1개월
SEC-022	Medium	axios · lodash 취약 버전	A06	BE	1개월
… 기타 30건	—	Medium 10 · Low 14 · Info 6 (상세는 별첨)	—	—	—

보완 로드맵 · 우선순위

P1 즉시 · P2 2주 · P3 1개월

P1 · 즉시 조치 (0 ~ 7일) · Critical 3건

서비스 운영에 직접적 위협을 주는 항목. 핫픽스 또는 WAF Rule로 단기 차단 병행.

대상: SEC-001 (SQLi) · SEC-002 (IDOR) · SEC-003 (Auth Bypass)
담당: BE 리드 · Platform · 보안담당자
산출물: 핫픽스 PR 3건 · WAF Rule Change Log · 재테스트 결과서

P2 · 단기 조치 (1 ~ 2주) · High 7건

권한·세션·입력 검증 관련 결함을 정합성 기준으로 일괄 보완.

대상: SEC-004 ~ SEC-010 (XSS · Session · 권한 · 업로드 · 브루트포스 · 에러 노출 · CSRF)
담당: BE · FE · Platform
산출물: 권한 매트릭스 문서 · CSP 정책 · 입력 검증 가이드라인

P3 · 중기 조치 (3 ~ 4주) · Medium/Low 26건

하드닝·버전 업그레이드·감사 로그 확장 등 운영 품질 관점의 개선.

대상: 보안 헤더 · Dependency 업그레이드 · 감사 로그 · TLS 설정 강화 등
담당: Platform · BE
산출물: SBOM · 보안 헤더 정책 · 감사 로그 표준서

재점검 (Retest) 계획

각 단계 완료 시점 기준

Phase	재점검 일정	범위	판정 기준
P1 Retest	2026-04-18	Critical 3건 집중	CVSS 4.0 이하로 하향 또는 해소
P2 Retest	2026-04-28	High 7건 + P1 회귀	High 0건 · Critical 0건 유지
P3 Retest	2026-05-12	Medium/Low + 전체 회귀	OWASP Top 10 전 영역 PASS
최종 승인	2026-05-20	리포트 v1.4 발행	재점검 결과 + 경영진 리포트

산출물 (Deliverables) 상세

점검 종료 후 인도 항목

인도 산출물 목록

총 7종

산출물	형식	주요 내용	대상
Executive Summary Report	PDF	경영진용 1페이지 요약 · 심각도 분포 · 핵심 권고	경영진
Technical Security Report	HTML/PDF	본 문서 · 42건 Finding 상세 · OWASP 매핑	개발팀 · 보안담당
Finding Spreadsheet	XLSX	ID · 심각도 · CVSS · CWE · 재현절차 · 권고 · 담당 · 기한	PM · BE · FE · Platform
PoC Evidence Pack	ZIP	재현 스크린샷 · HTTP Request/Response · sqlmap 로그	개발팀 · 감사
Remediation Checklist	MD	42건 개별 보완 체크리스트 · PR 추적 링크	개발팀
Security Headers Policy	YAML	CSP · HSTS · Referrer-Policy · Permissions-Policy 표준	Platform
Retest Results (v1.4)	PDF	재점검 후 해소 상태 요약 · 최종 승인 문서	경영진 · 감사

사용 도구 · 커버리지

자동화 + 수동 점검 병행

도구	용도	커버리지
OWASP ZAP 2.14	자동 스캔 · Passive / Active	전체 URL 크롤링 · 파라미터 퍼징
Burp Suite Pro	수동 점검 · Repeater / Intruder	권한·세션·로직 심층 테스트
sqlmap 1.8	SQL Injection 자동화 검증	전 POST/GET 파라미터
Nuclei 3.2	템플릿 기반 CVE / 설정 스캔	알려진 CVE · 헤더 누락 · 디버그 노출
semgrep / npm audit	정적 분석 · 의존성 스캔	소스·라이브러리 취약점
수동 비즈니스 로직 점검	권한 상승 · IDOR · 결제 우회	관리자·사업자·일반 사용자 롤 교차

결론 · 최종 권고

Summary · Next Action

요약

총 42건 결함 확인. Critical 3건은 인증 우회 · 개인정보 유출 위험에 해당하여 즉시 조치가 필요함. High 7건은 2주 내 보완 권고.

권고

① Critical 3건 핫픽스 (48시간 내)
② WAF 임시 룰로 단기 차단 병행
③ 권한 매트릭스 · CSP · 세션 정책 재정의 후 배포

재점검

P1 재점검: 2026-04-18
P2 재점검: 2026-04-28
최종 보고 (v1.4): 2026-05-20