DEV 2026.05.02 · 17 min
Intermediate Security Engineering Deep Dive · 1
보안 설정을 켰다고 안전한 게 아니다
공격자가 빠진 것을 찾는 방식부터 STRIDE 위협 분류, DFD 신뢰 경계, Defense in Depth, SDL 통합까지 — 공격자 관점 설계의 전체 구조를 추적한다.
series · security-engineering-deep-dive
📚 Security Engineering Deep Dive
총 7편 · 순서대로 읽기를 권장
DEV 2026.05.02 · 12 min
Intermediate Security Engineering Deep Dive · 2
인젝션 취약점의 공통 구조: 파서를 속이는 법과 막는 법
SQL, Blind SQL, JPA/JPQL, Command, LDAP/XML/NoSQL까지 — 모든 인젝션이 공유하는 단 하나의 근본 원인과 PreparedStatement가 그것을 막는 내부 메커니즘을 추적한다.
DEV 2026.05.02 · 16 min
Intermediate Security Engineering Deep Dive · 3
인증 시스템은 왜 이렇게 자주 뚫리는가
JWT alg:none부터 OAuth2 PKCE, 세션 고정, CSRF, 브루트포스, 비밀번호 해시까지 — 인증 취약점 6가지가 공유하는 하나의 설계 실수를 추적한다.
DEV 2026.05.02 · 14 min
Intermediate Security Engineering Deep Dive · 4
XSS부터 Clickjacking까지, 웹 보안 헤더의 설계 철학
Reflected·Stored·DOM-based XSS의 공격 원리부터 CSP Nonce, HSTS, Permissions-Policy, Open Redirect 방어까지, 브라우저와 서버가 신뢰를 구축하는 방식을 추적한다.
DEV 2026.05.02 · 13 min
Intermediate Security Engineering Deep Dive · 5
API 보안의 근본은 하나다 — '신뢰하지 말고 검증하라'
IDOR, 권한 상승, Mass Assignment, Rate Limiting, JWT 클레임 검증, 최소 권한 원칙까지. Spring 기반 API 보안 취약점의 공통 원인과 방어 패턴을 추적한다.
DEV 2026.05.02 · 15 min
Intermediate Security Engineering Deep Dive · 6
서버가 공격자의 손이 되는 순간 — Spring 보안 설계의 5가지 원칙
SSRF부터 의존성 취약점까지, 클라우드 시대의 Spring 애플리케이션이 마주하는 공격 패턴과 그 방어 설계를 관통하는 하나의 질문을 추적한다.
DEV 2026.05.02 · 14 min
Intermediate Security Engineering Deep Dive · 7
보안은 도구가 아니라 파이프라인이다
SAST, DAST, 침투 테스트, 보안 로깅, 인시던트 대응까지 — 코드가 배포되기 전부터 사고가 난 뒤까지, 보안 엔지니어링의 전체 흐름을 추적한다.