OAuth 취약점

핵심 개념

redirect_uri 검증 실패, state 파라미터 누락으로 발생하는 OAuth 공격을 이해합니다. PKCE 강제, 엄격한 리다이렉트 URI 검증, state 토큰 검증으로 OAuth를 안전하게 구현합니다.

코드 분석

SECURITY📋 코드 (1줄)

STEP·42 / SECURITY / CHAPTER 42 — OAuth 취약점# OAuth 보안 구현// ❌ 취약: redirect_uri 검증 미흡if (req.query.redirect_uri.includes('myapp.com')) ...// 공격: redirect_uri=https://myapp.com.evil.com&nbsp;// ✅ 완전 일치 검증const ALLOWED = ['https://myapp.com/callback']if (!ALLOWED.includes(req.query.redirect_uri))  throw new Error('Invalid redirect_uri')&nbsp;// ✅ CSRF 방지: state 파라미터const state = crypto.randomBytes(16).toString('hex')session.state = state  // 콜백에서 검증

AI 프롬프트

🤖 AI에게 잘 물어보는 법 — 모델·전략별 프롬프트

Claude

무료: Sonnet 4.6 / Pro $20/mo: Opus 4.6

이 'OAuth 취약점' 코드에서
OWASP Top 10 관점의 보안 취약점을 찾고
안전한 코드로 수정해줘.

ChatGPT

무료: GPT-5.5 / Plus $20/mo: GPT-5.5 Pro

'OAuth 취약점' 공격 방어 코드를
단계별로 구현해줘.
실전 페이로드 예시도 포함해서.

Gemini

무료: 2.5 Flash / Pro $19.99/mo: 3.1 Pro

이 웹 앱의 'OAuth 취약점' 관련 보안 헤더·인증 로직을
전체 분석해서 취약점·우회 가능 케이스·로그 누락을
우선순위 리포트로 만들어줘.

Grok

무료: Grok 4.1 / SuperGrok $30/mo

'OAuth 취약점' 취약점이 실제 해킹 사건·CVE에서
얼마나 자주 발견되는지 2026년 기준
솔직한 데이터로 알려줘.

⭐ 이것만 기억하세요

OAuth 취약점은 이 3가지만 확실히 잡으세요

1.OAuth2 플로우를 잘못 구현하면 인가 코드 탈취, 리다이렉트 URI 변조로 계정이 탈취됩니다

2.state 파라미터로 CSRF 방지, 리다이렉트 URI 정확히 매칭, PKCE로 인가 코드 가로채기를 방어합니다

3.다음 챕터에서 GraphQL의 보안 취약점을 배웁니다

💬 이 챕터 질문 보기

SECURITY · CH.46 — 질문하거나 답변을 확인하세요

→

진행도 46 / 84

← 커리큘럼으로 ← 목록으로 (화이트햇 보안)