보안 2026-06-09 3KB 읽기 3분

AIMED HTTP 보안 프로파일 (크라우니 스피어)

개요

크라우니 스피어로 가동 중인 AIMED HTTP 서비스 3종(9904/9909/9910)에 실제 보안 점검을 수행하고 S/A/B/C/D 등급을 판정. 기존 스피어 코어는 자기시스템 셀프테스트(암호분석)만 하므로, 실제 HTTP 소켓 점검용 신규 프로파일을 작성.

신규: /Users/ef/crowny-spear/engine/AIMED프로파일.한선 (코어 무수정, 자립 실행)

한선씨 소켓(소켓생성(2,1)/소켓연결/소켓보내기/소켓받기)으로 실제 HTTP 요청·응답 코드 파싱

점검 벡터: 입력검증(깨진JSON/누락필드/거대바디), 경로탐색(../etc/passwd), 메서드오용,

미지라우트, 인증우회, 인젝션반사(script), SQL인젝션 흉내, 레이트-생존

결과기록(등급,벡터,대상,요약,상세) PASS/VULN/WARN + 등급판정(방어율→S/A/B/C/D)

방어율=(PASS100+WARN50)/총, VULN 존재 시 최대 C 제한

SPEAR_PORT 환경변수로 1포트/1실행

컴파일 exit=0, 3 포트 모두 실행 완료

9904 분석/업무: C (방어율 87%, VULN 1, WARN 1)

VULN: /qna 레이트-생존 1/12 → 단일스레드 서버가 연속연결 부하에 프로세스 종료(DoS)

WARN: /api/aimed/start 가 memberId의 <script> 페이로드를 JSON에 원형 반사

9909 일톡: C (방어율 86%, VULN 1, WARN 1)

VULN: / 레이트-생존 1/12 → 9904와 동일 크래시 패턴

9910 ERP: C (방어율 83%, VULN 0, WARN 4)

가장 견고(레이트 12/12 생존, 크래시 없음)

WARN x4: /api/erp/overview·people·finance·purchase 무인증 GET → 조직데이터 200 노출

경로탐색 404 차단, 메서드오용 404, 미지라우트 404, 깨진JSON/거대바디 크래시 없음, SQL풍 페이로드 오류 미노출(규칙엔진=비SQL).