// 취약점 스포트라이트
FixVibe가 실행하는 모든 검사,
설명해드려요.
FixVibe에 포함된 69+ 취약점 분류. 각 항목은 스캔당 최대 35개의 하위 검사를 실행하며, 버그가 어떻게 동작하는지, 공격자가 무엇을 얻을 수 있는지, 어떻게 테스트하는지, 방어에 무엇이 필요한지 알려드려요.
01 / 07
HTTP 및 표면
세션 쿠키 속성
HttpOnly, Secure, SameSite — 세션 쿠키를 공격자가 쉽게 훔칠 수 없게 만드는 세 가지 플래그예요.
스포트라이트 읽기 →
HTTP 보안 헤더
헤더는 공짜 방어책이에요 — 그런데도 대부분의 앱이 여전히 빼먹고 배포해요.
스포트라이트 읽기 →
TLS 설정
오래된 암호화 스위트에 HSTS 누락까지 더해지면, 적대적인 와이파이 한 번에 세션이 탈취돼요.
스포트라이트 읽기 →
Vercel Deployment Protection
Generated deployment URLs should not become public staging doors.
스포트라이트 읽기 →
02 / 07
시크릿
하드코딩된 시크릿 패턴
Stripe 키, AWS 자격증명, OpenAI 토큰 — 패턴 매칭이 쉬운 실수를 잡아내요.
스포트라이트 읽기 →
JavaScript 번들 속 시크릿
클라이언트 번들에 포함됐다면 그건 시크릿이 아니라 공개 게시물이에요.
스포트라이트 읽기 →
JWT 무결성 (alg 혼동, 약한 시크릿)
JWT 검증기가 토큰 자체의 헤더를 신뢰하면, 공격자가 적은 무엇이든 믿어버려요.
스포트라이트 읽기 →
브라우저 스토리지의 토큰
localStorage는 JavaScript에서 읽을 수 있어요. 거기 저장된 인증 토큰은 설계상 XSS로 탈취 가능해요.
스포트라이트 읽기 →
노출된 소스맵
.map 파일이 공개돼 있다면, 공격자가 여러분의 TypeScript를 읽고 있어요.
스포트라이트 읽기 →
JavaScript의 정보 유출
내부 API 호스트, 버전 배너, TODO 주석 — 작은 유출이 모이면 스택 지도가 돼요.
스포트라이트 읽기 →
03 / 07
Backend-as-a-Service
Firebase 보안 규칙
`allow read, write: if true`는 지금 이 순간 누군가의 프로덕션 데이터베이스예요.
스포트라이트 읽기 →
Supabase Row-Level Security
공개 테이블에 RLS가 없다면, anon 키는 무엇이든 읽을 수 있는 자유 이용권이에요.
스포트라이트 읽기 →
Clerk 및 Auth0 설정
ID 공급자는 기본값을 조이지 않으면 생각보다 많이 새요.
스포트라이트 읽기 →
Supabase Storage and API Posture
Public buckets and anon-listable objects are where BaaS data leaks start.
스포트라이트 읽기 →
04 / 07
DNS
05 / 07
디스커버리
CVE 교차 참조
탐지된 버전 + 공개 CVE 데이터베이스 = 이미 문서화된 공격 목록이에요.
스포트라이트 읽기 →
디버그 및 관리자 엔드포인트
/debug, /admin, /server-status — 인터넷에서 절대 닿을 수 없어야 하는 경로들이에요.
스포트라이트 읽기 →
노출된 파일 및 백업 디렉터리
.env, .git, .DS_Store, backup.sql — 절대 공개되면 안 되는 파일들이 실수로 공개돼요.
스포트라이트 읽기 →
SPIP Template RCE Version Exposure
Public SPIP version banners can reveal an RCE-class patch gap.
스포트라이트 읽기 →
Cloudflare 오리진 및 프록시 자세
오리진 IP가 발견 가능하다면 Cloudflare WAF는 우회 가능해요.
스포트라이트 읽기 →
GraphQL 인트로스펙션 노출
프로덕션의 인트로스펙션은 공격자에게 전체 타입 시스템을 그대로 넘겨주는 거예요.
스포트라이트 읽기 →
위협 인텔 교차 참조
Spamhaus DBL, URLhaus — 외부에서 본 여러분 도메인의 평판이에요.
스포트라이트 읽기 →
노출된 API 문서
/swagger.json, /openapi.json, /docs — 여러분과 공격자 모두에게 공개된 API 지도예요.
스포트라이트 읽기 →
Netlify 특화 노출
Netlify 배포 미리보기 URL, x-nf-* 헤더, _redirects 실수예요.
스포트라이트 읽기 →
프라이버시 및 쿠키 규정 준수 표시
GDPR이 요구하는 페이지들 — 존재하고 링크돼 있어야지, 아니면 신고당할 위험이 있어요.
스포트라이트 읽기 →
기술 스택 핑거프린팅
스택을 아는 건 정찰의 절반이에요 — 오래된 프레임워크면 나머지 절반까지 채워져요.
스포트라이트 읽기 →
Vercel 특화 노출
_next/static, x-vercel-* 헤더, 미리보기 URL — Vercel만의 흔적이 생각보다 많이 새요.
스포트라이트 읽기 →
06 / 07
능동 프로브
교차 테넌트 데이터 유출
테넌트 ID를 강제하지 않는 멀티테넌트 SaaS는 조직 간에 고객 데이터가 새요.
스포트라이트 읽기 →
JWT alg=none Acceptance
A decoded token is not an authenticated identity.
스포트라이트 읽기 →
OS 커맨드 인젝션
사용자 입력이 셸 명령의 일부가 되는 순간, 셸은 공격자가 쓰는 무엇이든 실행해요.
스포트라이트 읽기 →
서버 측 템플릿 인젝션 (SSTI)
템플릿 엔진이 사용자 입력을 템플릿으로 처리하면, 서버는 사용자 입력을 코드로 처리해요.
스포트라이트 읽기 →
SQL 인젝션
사용자 입력이 쿼리의 일부가 되는 순간, 데이터베이스는 더 이상 여러분의 것이 아니에요.
스포트라이트 읽기 →
인증 흐름 결함
로그인, 회원가입, 비밀번호 재설정 — 실제 계정 탈취는 대부분 여기서 일어나요.
스포트라이트 읽기 →
블라인드 SSRF (대역 외)
서버가 사용자가 제공한 URL을 가져온다면, 사용자가 내부 서비스를 가져오게 만들 수 있어요.
스포트라이트 읽기 →
CKAN DataStore SQL Authorization Bypass
Public DataStore SQL access can turn open data APIs into private data exposure.
스포트라이트 읽기 →
CORS 잘못된 설정
관대한 Access-Control-Allow-Origin에 자격증명까지 더해지면, 여러분의 API는 모두의 API가 돼요.
스포트라이트 읽기 →
URL 프래그먼트 기반 DOM XSS
현대 SPA들은 location.hash를 읽어 DOM에 써넣는데, 공격자 페이로드도 같이 들어가요.
스포트라이트 읽기 →
파일 업로드 검증
사용자가 업로드한 파일은 임의의 바이트예요 — 검증 없이 '이미지'로 받아들이는 건 RCE를 부르는 길이에요.
스포트라이트 읽기 →
FUXA Hardcoded JWT Fallback Secret
Default token-signing secrets can turn an HMI login into a weak boundary.
스포트라이트 읽기 →
GraphQL 깊이 폭탄 및 배치 우회
GraphQL의 유연함은 곧 취약함이에요 — 깊이 폭탄, alias 배칭, 필드 제안 유출까지요.
스포트라이트 읽기 →
HTTP 리퀘스트 스머글링
프런트 프록시와 백엔드가 한 요청의 끝을 다르게 해석하면, 공격자가 그 틈을 타요.
스포트라이트 읽기 →
IDOR / BOLA
API가 클라이언트가 보내는 ID를 그대로 신뢰하면, 클라이언트는 어떤 ID든 보낼 수 있어요.
스포트라이트 읽기 →
LLM 프롬프트 인젝션
AI 기능이 사용자 입력을 명령으로 신뢰하면, 사용자가 시스템 프롬프트를 다시 쓸 수 있어요.
스포트라이트 읽기 →
NoSQL 연산자 인젝션
사용자 제어 JSON에 들어간 MongoDB 스타일 연산자가 쿼리를 와일드카드로 바꿔요.
스포트라이트 읽기 →
반사형 크로스사이트 스크립팅 (XSS)
조용한 탈취: 검증되지 않은 매개변수 하나가 사용자 브라우저에서 공격자 코드를 실행해요.
스포트라이트 읽기 →
XML 외부 엔티티 (XXE)
XML 파서가 외부 엔티티를 해석하면, 서버가 공격자를 위해 파일을 읽어줘요.
스포트라이트 읽기 →
ZoneMinder Directory Listing Exposure
A camera management UI should not publish its web root index.
스포트라이트 읽기 →
계정 열거
이메일 존재 여부에 따라 로그인 응답이 달라지면, 공격자가 고객 명단을 만들 수 있어요.
스포트라이트 읽기 →
Confirming Next.js middleware bypass exposure
Confirming Next.js middleware bypass exposure
스포트라이트 읽기 →
CRLF / 응답 분할
사용자 입력이 응답 헤더에 들어가면, 줄바꿈을 통해 공격자가 자기 헤더를 쓸 수 있어요.
스포트라이트 읽기 →
CSRF 보호
상태를 바꾸는 엔드포인트가 CSRF 토큰을 요구하지 않으면, 외부 사이트가 사용자처럼 행동할 수 있어요.
스포트라이트 읽기 →
Rate Limit 부재
인증 엔드포인트에 rate limit이 없으면, 공격자가 회선 속도로 자격증명 스터핑을 할 수 있어요.
스포트라이트 읽기 →
Next.js Header Configuration Drift
Headers set on `/` do not always protect nested routes.
스포트라이트 읽기 →
오픈 리디렉트
도착지를 검증하지 않는 /redirect?url=…은 그대로 피싱 키트가 돼요.
스포트라이트 읽기 →
07 / 07
소스 코드
Ghost Content API SQL Injection Advisory
A vulnerable Ghost dependency can put public content APIs on the database boundary.
스포트라이트 읽기 →
LibreNMS Command Injection Advisory
A vulnerable monitoring stack can become an execution path inside the network.
스포트라이트 읽기 →
LiteLLM SQL Injection Advisory
A vulnerable LiteLLM Proxy version can turn API-key verification into database exposure.
스포트라이트 읽기 →
Committed AI-Generated Secrets
AI snippets should not ship provider keys into git.
스포트라이트 읽기 →
electerm Install-Script Command Injection Advisory
A vulnerable terminal-client dependency can put build or developer hosts at install-time risk.
스포트라이트 읽기 →
OpenCms XXE Information-Disclosure Advisory
A vulnerable OpenCms dependency can put XML-processing routes on a file-read boundary.
스포트라이트 읽기 →
PDF.js JavaScript Execution Advisory
A vulnerable PDF viewer can turn a malicious document into script execution.
스포트라이트 읽기 →
위험한 소스 코드 패턴
eval(), dangerouslySetInnerHTML, 하드코딩된 시크릿 — SAST가 25년 동안 잡아온 패턴들이에요.
스포트라이트 읽기 →
Supabase RLS in Migrations
A public table without RLS is a future data leak.
스포트라이트 읽기 →
취약한 의존성
package-lock.json에 수천 개의 패키지가 있어요. 그중 일부는 알려진 CVE를 갖고 있어요.
스포트라이트 읽기 →
웹훅 서명 검증
웹훅 핸들러가 서명을 검증하지 않는다면, 누구든 이벤트를 위조할 수 있어요.
스포트라이트 읽기 →
AI-Generated Code Guardrails
Fast AI-assisted changes need repo-level security rails.
스포트라이트 읽기 →
리포 보안 위생
브랜치 보호, 액션 핀 고정, 시크릿 위생 — 리포를 어떻게 운영하는지가 코드보다 더 중요할 때가 있어요.
스포트라이트 읽기 →
Reviewing repo code against web app risk patterns
Reviewing repo code against web app risk patterns
스포트라이트 읽기 →