사전 질문

• [x] 현재 제가 맡은 부분은 React2Shell 취약점 환경 재현입니다. 이미 특정 버전에서 취약점이 존재하고, 업데이트를 통해 개선이 가능하다고 알려진 상황인데, 이런 취약점을 직접 재현할 수 있는 환경을 구성한 경험이 취업 시 어필이 될 수 있을지 궁금합니다. → 대응방안 + 취약점 원리까지 YES
• [x] 웹 해킹 분야로 한정한다고 가정했을 때, 의도적으로 취약한 웹사이트를 직접 개발한 뒤 공격을 수행하고, 그 결과를 실제 모의해킹 결과 보고서 형태로 정리해보려 합니다. 이런 활동이 실무나 취업 측면에서 의미 있는 어필 요소가 될지, 아니면 시간 대비 효율이 낮은 작업인지 조언을 듣고 싶습니다.
  • 충분히 도움이 많이 됩니다!
• [x] 현재 이 프로젝트에서 제가 (공격 시나리오 설계 / 재현환경 구축) 부분을 맡아 수행했을 때, 현업자나 채용 담당자 관점에서 어필이 될 만한 포인트는 무엇일지 궁금합니다.
• [x] 현업에서 보시기에, 지금 이 프로젝트의 전체적인 방향성은 어떻게 보이는지, 더 보완하거나 바꿔보면 좋을 부분이 있을지 의견을 듣고 싶습니다.
• [x] 사용자가 많은 서비스는 아니지만, 실제로 몇 가지 취약점을 발견한 경험이 있습니다. 이런 취약점에 대해 CVE 신청을 시도해도 괜찮을지, 그리고 이러한 시도 자체가 취업 시 긍정적인 어필 요소가 될 수 있을지 궁금합니다.
• [x] 공격 시나리오나 취약점 보고서 등이 있을 때 일반적으로 사용되는 문서 양식이 있는지
• [x] 실제 서비스에서 발견한 취약점을 포트폴리오에 포함할 때 주의할 점이 있는지 / 코드 공개되어버리는거 외에도..!
  • PoC 공개 3개월 정도 유예 기간 있거나 공개 안할 수도 있음.
  • 공격 코드는 GitHub에 업로드 X
    • PR 용으로 오픈 할 수도 있다 → 한국에서 싫어한다