webpos 보안취약점 개선

관련 계획: MKGPFPJT-12249 KISA 침투테스트 대비 취약점 개선 계획 | 어드민 axios 보안취약점 문제 해결

총 4건

• 인증 없이 비밀번호 변경 가능
• 계정 존재 여부 추정 가능
• 세션 유지시간 과다
• 2차 인증 미적용

공통 대응 원칙

• 서버 측 인증/권한 검증 강화
• 재설정/민감 기능에 추가 인증 적용
• 일관된 응답으로 정보 노출 최소화
• 운영 정책과 기술 조치 동시 검토

이력

• 백수정 매니저가 비밀번호 변경 프로세스 알려달라고 함.
  • 찾아봄
  • 일단 현재 기준으로는 메일이 나한테 안오게 되어있음.
  • stg와 dev는 내부망에서 봐야하는데 확인이 안됨.
    • 일단 출근해서 확인 필요