2022 링크스피릿 보안 감사
우리는 Psono에서 보안을 매우 중요하게 여기며, 사용자의 비밀번호를 보호하기 위해 가능한 모든 것을 시도하고 있습니다. 특히 제3자가 Psono를 감사를 한 적이 없었던 상황에서 링크스피릿이 무료로 Psono를 감사해 줄 수 있는 서비스를 제공하겠다고 연락을 해왔을 때 매우 기뻤습니다.
링크스피릿은 IT 보안 분야에서 10년 이상의 경험을 가진 이탈리아 회사로, 이탈리아 내 IT 보안 서비스 분야에서 최고의 자리를 차지하고 있습니다. 그들의 포트폴리오에는 다음과 같은 다양한 서비스가 포함되어 있습니다:
- 취약점 평가
- 침투 테스트
- 애플리케이션 보안 검사
- 사이버 보안 평가
그들의 전문성과 능력은 분명하며, 따라서 Psono를 감사하는 데 적합한 회사였습니다.
절차는 간단했습니다. 링크스피릿은 리눅스 서버에 대한 SSH 접근을 제공했고, 우리는 공개 문서에 따라 Psono를 배포했습니다. 특히, 클라이언트, 서버 및 관리자 포털을 도커 컨테이너에 배포했습니다. nginx 웹 서버는 SSL을 처리하기 위해 정기 설치 가이드에 따라 리버스 프록시로 구성되었습니다. 인증서는 letsencrypt에서 제공받았습니다.
링크스피릿은 Psono를 감사하면서 특히 가능한 주입 포인트, 인증 및 권한 부여 정책 위반, 잘못된 확인 등을 찾기 위해 노력했으며, 모든 보안 헤더를 깊게 살펴보았습니다. 전체 공개의 관심에서, 감사 결과를 여기에서 확인할 수 있습니다.
우리는 주요 문제가 발견되지 않고 단지 몇 가지 사소한, "거의 악용할 수 없는 취약점"만 식별되었음을 보고하게 되어 매우 안심되고 기쁩니다.
"구조가 잘 잡히고 잘 작성된 코드에 축하를 보냅니다. 이렇게 영향이 적은 소수의 취약점을 찾는 것은 이번이 처음입니다."
링크스피릿의 서비스에 충분한 감사를 표할 수 없습니다! 그들의 노력 덕분에 우리는 밤에 더 잘 잘 수 있게 되었습니다!
