더북(TheBook)

과도한 정보 노출

모든 조직은 서비스에 대한 보안 시행 방법에 다양한 규칙을 마련한다. 많은 조직은 서비스가 자신의 정보를 공개하면 안 되고 /env 엔드포인트 같은 항목은 서비스에서 비활성화되어야 한다고 생각한다. 당연하겠지만 이러한 엔드포인트가 잠재적인 해커에게 너무 많은 정보를 제공한다고 믿기 때문이다.

스프링 부트는 스프링 액추에이터 엔드포인트에서 반환되는 정보를 설정할 수 있는 많은 기능을 제공한다. 이 주제는 이 책 범위를 벗어나지만 크레이그 월즈(Craig Walls)의 명저인 <스프링 부트 코딩 공작소>(길벗, 2016)에 자세히 설명되어 있다. 스프링 액추에이터로 노출하려는 적절한 수준의 정보를 제공할 수 있도록 기업 보안 정책과 월즈의 책을 검토하길 권한다.

신간 소식 구독하기
뉴스레터에 가입하시고 이메일로 신간 소식을 받아 보세요.