인프런 커뮤니티 질문&답변

작성한 질문수

토비의 스프링 부트 - 이해와 원리

스프링에 삭제/수정을 시 방어 코드 로직이 있을 까요?

작성

·

404

1

스프링에 삭제/수정을 시 방어 코드 로직이 있을 까요?

안녕하세요 토비님 ~

오더 삭제를 위한 매핑 정보

@RequestMapping(value ="/경로/{오더번호}"

삭제로직

mvc 공부하다가 궁금한점이 있어 문의 드립니다

위와 같은 삭제 로직 호출 부분이 있다고 가정 할 때

웹, 스프링 공부를 한 사람이 악의 적인 의도를 갖고

클롬 개발자도구를 사용해서 오더 삭제 URI 주소를

확인 유추하게 되어

악의적으로 자기 오더가 아닌 오더번호 or 오더Seq를

쿠팡/배달의민족 등

삭제 시도 공격을 할 수 있을 거라고 생각해봤습니다

물론 삭제 로직 에

사용자의 로그인 정보 나 롤 정보를 담은

SQL에 WHERE 조건은 집어 넣을 수 있습니다

이런 악의적인 공격을 피해 갈 수 있는

다른 스프링의 기능이 있을 지 궁금 합니다

감사합니다 수고하세요.

--█●●--------------------------------------------

#delete

#update

#수정

#삭제

#방어

#로직

#방법

#부트

#스프링

#스프링부트

#spring

#sping-boot

#springboot

#토비

spring spring-boot spring-jdbc

답변 1

1

지식공유자

URL은 공개하지 않더라도 충분히 유출, 추측 가능합니다. 따라서 웹 보안과 권한 체크를 통해서 막아야 합니다.

관련된 방법은 너무 많아서 다 열거하지 않겠습니다.

질문자

토비님 답변 감사드립니다

고맙습니다. 수고하세요!

작성한 질문수