배경
보안 감사(1차) + 보안 컨설턴트 검토(2차)에서 Critical 2건, High 5건, Medium 5건, Low 1건의 취약점 발견.
공공사이트에서 개인 문서를 다루는 특성상 즉시 수정 필요.
취약점 요약
| ID |
취약점 |
심각도 |
| C-01 |
fetch-file 오픈 프록시 |
Critical |
| C-02 |
open-hwp URL 검증 없음 |
Critical |
| H-01 |
innerHTML XSS |
High |
| H-02 |
sender 검증 없음 |
High |
| H-03 |
<all_urls> 과도한 권한 |
High |
| N-01 |
web_accessible_resources 과도한 노출 |
High |
| N-02 |
dev-tools 전 페이지 주입 |
High |
| N-03 |
CustomEvent fingerprinting |
Medium |
| N-04 |
Array.from 메모리 폭발 DoS |
Medium |
| N-05 |
다운로드 인터셉터 URL 미검증 |
Medium |
| M-01 |
HTTP 허용 (MITM) |
Medium |
| M-02 |
CSP 미비 |
Medium |
| L-01 |
WASM 파서 입력 미검증 |
Low→Medium |
수정 계획
- 공통 보안 모듈 (
rhwp-shared/security/) 구축
- 사용자 설정 페이지로 보안 정책 유연 조절
- Chrome/Edge/Safari 동시 적용
참고 문서
- 보안 감사 보고서:
mydocs/report/browser_extension_security_audit.md
- 수정 계획:
mydocs/plans/security_remediation_plan.md
배경
보안 감사(1차) + 보안 컨설턴트 검토(2차)에서 Critical 2건, High 5건, Medium 5건, Low 1건의 취약점 발견.
공공사이트에서 개인 문서를 다루는 특성상 즉시 수정 필요.
취약점 요약
<all_urls>과도한 권한수정 계획
rhwp-shared/security/) 구축참고 문서
mydocs/report/browser_extension_security_audit.mdmydocs/plans/security_remediation_plan.md