Skip to main content
HashnodeCodeSnap

Command Palette

Search for a command to run...

에러 핸들링을 테스트하기

Updated
에러 핸들링을 테스트하기
정승아
Part of seriesApril 2024

원문: Awesome,"Testing for Error Handling"

해당 아티클에서는 무엇이 에러 핸들링인지, 어떤 사례가 있는지 그리고 OWASP Web Security Testing Guide를 기반으로 에러 핸들링을 테스트해 봅니다.

에러 핸들링이란

에러 핸들링이란 소프트웨어 개발에서 프로그램이 실행되는 동안 발생할 수 있는 오류나 예기치 않은 조건을 처리하기 위해 프로그램을 작성하는 프로세스입니다.

프로그램이 실행될 때 문법 오류, 입출력 오류, 심지어 논리 오류들이 발생하거나 예기치 않은 상황이 발생할 수 있습니다. 이러한 오류를 처리하지 않는다면 프로그램이 중지되거나 충돌하게 되는데요. 이로 인해 사용자의 데이터를 잃는다거나 프로그램을 사용하는 데 불편을 겪게 됩니다.

이를 방지하려면 프로그램 오류를 구별하고 명확한 오류 메시지를 제공하며 문제 해결을 위한 적절한 조치를 실행하는 등의 적절한 에러 핸들링이 필요합니다. 그래야 프로그램이 오류나 예기치 않은 상황으로 인해 중단되지 않고 기능을 수행할 수 있기 때문입니다.

에러 핸들링의 예

전화번호 필드에 문자를 입력하는 경우를 떠올려봅시다. 대표적인 에러 핸들링 사례는 데이터 유효성 검사일 것입니다. 데이터 유효성 검사는 사용자가 입력한 데이터가 예상되는 형식에 맞는지 확인하는 프로세스입니다. 데이터가 예상 형식과 일치하지 않으면 프로그램에서 적절한 오류 메시지를 표시합니다.

다음 Python 코드는 사용자의 입력값이 숫자로만 구성되어 있는지 확인하기 위한 데이터 유효성 검사 블록입니다.

phone_number = input("Enter the phone number: ")
if not phone_number.isnumeric():
    print("Phone numbers can only consist of numbers")

위 예제에서는 사용자가 입력한 값이 숫자로만 구성되어 있는지 여부를 확인하기 위해 isnumeric() 함수를 사용했습니다. 그렇지 않은 경우 프로그램은 오류 메시지를 출력합니다.

이를 통해 사용자에게 명확한 메시지를 전달하고 입력 내용을 수정하여 프로그램이 실행될 때 오류가 발생하지 않도록 할 수 있습니다. 데이터 유효성 검사는 이 외에도 이메일 주소, 날짜 형식 또는 기타 유형의 데이터가 프로그램 내에서 해당 타입인지 확인하는 데에도 사용할 수 있습니다.

에러 핸들링을 테스트하기

아래는 OWASP Web Security testing Guide를 기반으로 한 에러 핸들링 테스트입니다.

1. 부적절한 에러 핸들링 여부 테스트하기

부적절한 에러 핸들링의 정의

애플리케이션(웹 앱, 웹 서버, 데이터베이스 등)이 오류를 제대로 처리하지 못하거나 사용자에게 명확한 오류 메시지를 제공하지 않을 때 부적절한 에러 핸들링이 발생합니다. 이는 공격자가 공개되어서는 안 되는 정보를 얻게 한다거나 웹 애플리케이션에 대한 다른 공격을 수행할 수 있는 기회를 주는 것입니다.

부적절한 에러 핸들링을 통해 공격자는 아래와 같은 일들을 수행합니다.

  • 내부적으로 사용되는 API를 파악합니다.

  • 내부 시스템과 사용되는 프레임워크에 대해 파악하고 연계되는 서비스를 연결하여 연쇄 공격을 시작할 수 있습니다.

  • 사용 중인 애플리케이션의 버전과 유형을 수집합니다.

  • 시스템을 데드락 상태로 만들거나 처리되지 않은 예외를 강제로 발생시켜 엔진에 패닉 신호를 보냄으로써 시스템을 DoS(서비스 거부) 상태로 만들 수 있습니다.

  • 특정 예외가 해피 패스(예외나 오류 조건이 없는 기본 시나리오)를 중심으로 설정된 로직에 의해 막히지 않는 경우 우회합니다.

테스트의 목적

  • 현존하는 에러 결과를 파악합니다.

  • 반환된 서로 다른 결과들을 분석합니다.

아래 예제에서는 productId 매개 변수의 값을 정수 2에서 문자열 "test"로 변경하여 테스트를 수행했는데 오류가 발생한 것을 확인할 수 있습니다. 알 수 없는 코드 줄에서 문자열 "test"를 정수로 변환하는 과정에서 NumberFormatException 오류가 발생한 것입니다.

공격자는 Apache Struts 2 2.3.31을 사용하는 애플리케이션에서 유효하지 않은 입력 취약점을 악용할 수 있습니다. 예를 들면 공격자는 이를 통해 잘못된 입력을 입력하거나 양식 입력 또는 URL 매개 변수에 예기치 않은 문자나 값을 입력하여 애플리케이션 보안을 침해합니다.

아래의 경우 공격자는 정수를 포함해야 하는 매개변수에 "test" 값을 입력하여 변환 오류를 발생시키고 내부 서버 오류를 유발할 수 있습니다. 이 오류를 이용해 SQL 인젝션, 크로스 사이트 스크립팅(XSS) 또는 기타 공격과 같은 다양한 유형의 공격도 가능합니다.

2. 스택 트레이스 테스트하기

스택 트레이스 테스트가 부적절한 에러 핸들링 테스트로 통합되었습니다.

결론

따라서 에러 핸들링의 요점은 애플리케이션에 대한 너무 많은 정보를 노출하지 않는 것이며 대상 기능을 어디서 사용할지를 파악하는 데에도 사용할 수 있습니다.

#error-handling#testing

Comments

Join the discussion

No comments yet. Be the first to comment.

April 2024

Part 5 of 8

오류를 마주하는 건 힘들어 It's Hard to Face Error

Up next

리액트 쿼리 에러 핸들링

원문: TkDodo, "React Query Error Handling" 오류 처리는 비동기 데이터 특히 데이터를 가져오는 작업을 할 때 필수적인 부분입니다. 모든 요청이 성공하는 것은 아니며 모든 프로미스가 이행되는 것도 아닙니다. 하지만 처음부터 오류 처리에 집중하지 않는 경우가 많습니다. "성공적인 경우"를 먼저 생각하고 오류 처리는 나중에 생각나서 하게 됩니다. 그러나 오류 처리 방법을 생각하지 않는 것은 사용자 경험에 부정적인 영향을...

More from this blog

나의 오픈 소스 시작 이야기

원문: TkDoDo, “My Open Source Origin Story“ 가끔씩 제가 받는 질문이 하나 있는데, 바로 오픈 소스와 리액트 쿼리(React Query)를 어떻게 시작하게 되었는지입니다. 저의 기본 원칙은 어떤 질문을 세 번 받으면 더 이상 답변할 필요가 없도록 질문에 대해 글로 쓴다는 것입니다. 하지만 이 질문은 주로 직접 만났을 때 받는 질문이라 글로 작성할 생각을 한 적이 없었습니다. 최근에 오프라인 컨퍼런스에 더 많이 참...

Jul 30, 2025
나의 오픈 소스 시작 이야기

이더넷이란?

원문: baeldung, “What Is Ethernet?“ 1. 소개 이 튜토리얼에서는 이더넷(Ethernet)과 이를 통해 이루어지는 데이터 전송에 대해 알아보겠습니다. 2. 이더넷이란? 이더넷은 근거리 통신망(LAN) 또는 광역 네트워크(WAN) 내에서 장치들이 데이터를 주고받고 통신하기 쉽게 만들어 주는 널리 사용되는 기술입니다. 컴퓨터, 프린터, 서버는 물론 스마트 홈 기기까지도 이더넷으로 연결됩니다. 가정이나 사무실처럼 제한된 공간...

Jul 20, 2025
이더넷이란?

포스트 개발자 시대

원문: Josh W. Comeau, "The Post-Developer Era" 2년 전 2023년 3월, "프런트엔드 개발의 종말"이라는 제목의 블로그 글을 발행했습니다. 이는 OpenAI가 GPT-4 쇼케이스를 발표한 직후였고, 당시 업계 분위기는 머지않아 인간 소프트웨어 개발자는 필요 없어지고 앞으로는 소프트웨어 개발을 AI가 전담하게 될 것이라는 전망이 지배적이었습니다. 저는 이런 주장에 회의적이었고 그 블로그 글에서 소프트웨어 개발...

Jul 10, 2025
포스트 개발자 시대

널리 사용되는 네트워크 프로토콜

원문: Subham Datta, "Popular Network Protocols" 1. 개요 이 튜토리얼에서는 가장 널리 사용되고 인기 있는 네트워크 프로토콜들을 소개합니다. 2. 네트워크 프로토콜 소개 의사소통과 정보 교환은 현대 사회에서 가장 중요하고 강력한 역량입니다. 컴퓨터 네트워킹이란 여러 대의 컴퓨터와 장치를 케이블이나 위성을 통해 서로 연결하여, 거리와 상관없이 정보·자원·데이터베이스 등을 공유할 수 있게 하는 것을 말합니다. 네...

Jun 20, 2025
널리 사용되는 네트워크 프로토콜

커맨드 라인에 편해지는 법

원문: Julia Evans, "What helps people get comfortable on the command line?" 가끔 커맨드 라인을 써야 하는 친구들과 이야기하다 보면 많은 이들이 여전히 터미널을 두려워하고 있다는 걸 느낍니다. 그럴 때마다 어떤 조언을 할지 잘 모르겠더라고요. 저는 워낙 오래전부터 터미널을 써왔기 때문이죠. 그래서 Mastodon에 이렇게 물어봤습니다. 최근 1~3년 사이에 터미널 공포(?)를 극복한 분...

Jun 10, 2025
커맨드 라인에 편해지는 법
C

CodeSnap

84 posts

한국어로 전달하는 웹 개발 번역 매거진