bypass나 오탐 부분에 대해서는 일부 동의하나 전반적으로 확실하지 않은 정보를 팩트마냥 나열되어 있는 느낌이 강합니다. 시간나면 원문내용도 봐야겠네요. 특히 CapitalOne 사례를 WAF의 문제로 집은 것은 원글 작성자가 WAF에 대한 이해도가 많이 부족한 것으로 보이네요. WAF는 취약점을 근본적으로 Mitigation 해주는 솔루션이 아닙니다. 코드에서 발생한 취약점은 코드에서 해결해야 하는 것이 올바른 해결이죠. 하지만 현실은 이렇지 못하기에 의심스러운 또는 악의적인 인풋을 앞단에서 검사할 적절한 무언가가 필요한겁니다. 이를 잘 운영하면 정말 좋은 칼이 되는거고 잘 운영하지 못하면 나를 다치게하는 칼이 되는법이죠. 도구의 양면성은 언제나 있는 면이지만 너무 안좋은 면만 부각시키는 주제 같네요.
bypass나 오탐 부분에 대해서는 일부 동의하나 전반적으로 확실하지 않은 정보를 팩트마냥 나열되어 있는 느낌이 강합니다. 시간나면 원문내용도 봐야겠네요. 특히 CapitalOne 사례를 WAF의 문제로 집은 것은 원글 작성자가 WAF에 대한 이해도가 많이 부족한 것으로 보이네요. WAF는 취약점을 근본적으로 Mitigation 해주는 솔루션이 아닙니다. 코드에서 발생한 취약점은 코드에서 해결해야 하는 것이 올바른 해결이죠. 하지만 현실은 이렇지 못하기에 의심스러운 또는 악의적인 인풋을 앞단에서 검사할 적절한 무언가가 필요한겁니다. 이를 잘 운영하면 정말 좋은 칼이 되는거고 잘 운영하지 못하면 나를 다치게하는 칼이 되는법이죠. 도구의 양면성은 언제나 있는 면이지만 너무 안좋은 면만 부각시키는 주제 같네요.