gstack /cso 기반 보안 감사 통한 FastAPI 취약점 6종 제거

How I secured my FastAPI app - 6 vulnerabilities fixed in one session with gstack /cso

RateCalc2026년 5월 27일2분intermediate

AI 요약

Context

FastAPI 기반 서비스 ratecalc.fyi의 초기 릴리즈 전 보안 결함 식별 필요성 대두. 하드코딩된 자격 증명 및 불충분한 검증 로직으로 인한 데이터 유출 및 권한 탈취 위험 상존.

Git history 내 하드코딩된 Admin Password 및 사용자 DB 파일 제거를 위한 git filter-repo 기반의 이력 세척 적용
Secret Key 부재 시 서비스 구동을 차단하는 Fail Closed 전략 도입으로 Webhook 및 Admin 인증 우회 경로 원천 봉쇄
X-Forwarded-For 헤더 스푸핑을 통한 Rate Limit 우회 방지를 위해 Transport layer 기반의 request.client.host 식별 방식으로 변경
CSP, HSTS, Permissions-Policy 미들웨어를 추가 적용하여 브라우저 단의 보안 헤더 강화
환경 변수 기반의 설정 관리 체계 구축을 통한 민감 정보의 코드 분리 및 외부 주입 구조 설계

실천 포인트

1. 환경 변수 누락 시 프로세스를 즉시 종료하는 Fail Closed 메커니즘 구현 여부 확인

2. Rate Limit 적용 시 클라이언트 IP 식별자를 Trustable Source로 설정했는지 검토

3. 민감 정보 유출 시 단순 삭제가 아닌 git filter-repo 등을 통한 History 전체 세척 수행

4. 보안 헤더(CSP, HSTS)를 FastAPI Middleware 단계에서 전역적으로 적용했는지 확인

태그