2026.03.02

점검 사항 (시도 여부)

본 점검은 공개 접근 가능 범위 내에서 수행 중

• [x] SQLi (확인)
• [x] Blind SQLi (확인)
• [x] Error Message Disclosure (일부 응답 노출)
• [ ] Parameter Manipulation (작업중)
• [x] XSS (미확인) → httpolny로 쿠키 탈취 불가 / 정찰단계에서 더이상은 무리
• [ ] CSRF (인증 제한으로 부분 점검)
• [x] File Upload (권한 필요) → 업로드 테스트 불가
• [x] File Download (경로 점검 진행) → static link 방식이라 parameter tampering 공격 불가 다만, static link 형식으로 방어중이므로 파리미터 방식에 대한 검증 로직 존재하지 않을 수 있음 그렇다면 parameter tampering을 통해서 직접 접근이 가능하지 않을까…?

웹 서비스 SQL Injection 취약점 신고서 (KISA제출용)

FINEDNC 웹 SQLi 취약점 분석 보고서 (연구용)