웹 애플리케이션 제작 시 주의해야 할 함정: 캐시 관리의 중요성 인터넷 상에서 사업을 하는 것이 당연한 시대가 되면서, 자체 웹사이트나 웹 애플리케이션을 운영하는 기업의 수도 상당히 증가했다. 이러한 환경에서 발생하는 인시던트는 기업의 신뢰, 브랜드, 수익 등에 계산할 수 없는 손실을 가져올 수 있다. 이번 연재에서는 정보 보안 전문가인 徳丸浩(토쿠마루 히로시)가 제작한 취약성 진단 실습용 웹 애플리케이션 'BadTodo'를 통해 웹 애플리케이션 제작에 숨어 있는 함정에 대해 스토리 형식으로 배워본다. 등장 인물은 모두 가상이지만, 함정은 모두 현실에서 발생할 수 있는 것들이다. 이번 회에서는 캐시에 대해 확인해보는 시간을 가진다. 웹 애플리케이션 제작에 캐시 서버를 활용한 것은 좋지만, 캐시 관리에 주의하지 않으면 정보 유출의 위험이 있다는 점을 지적한다. 예를 들어, 사용자의 ID나 이메일 주소가 포함된 마이페이지의 URL에 'rnd'로 시작하는 문자열이 있는 경우, 이를 제거하고 로그인하지 않은 다른 브라우저에서 열어보면 개인 정보가 노출될 수 있다. 이러한 문제를 방지하기 위해서는 HTTP 헤더에 '캐시 컨트롤(Cache-Control)'을 추가하고, 'no-store'를 지정하여 해당 페이지가 캐시에 저장되지 않도록 설정해야 한다. 'no-cache'와 혼동하기 쉬우니 주의가 필요하다.

콘텐츠를 더 읽고 싶다면?

원티드에 가입해 주세요.
로그인 후 모든 글을 볼 수 있습니다.

원티드 시작하기