최근 금융 도메인의 인증 시스템 을 고도화하던 중, 모의 해킹(Penetration Test)에서 치명적인 시나리오가 보고되었습니다. 공격자가 XSS(Cross-Site Scripting) 취약점을 통해 사용자의 Refresh Token 을 탈취했을 때, Acces…

「ユーザーがログアウトしたはずなのに、誰かがアカウントを操作している」。これは以前、私が担当していた大規模なEコマースプラットフォーム（MAU 50万規模）で実際に発生したインシデントです。原因は、XSS脆弱性を突かれてローカルストレージから盗まれた長期間有効なリフレッシュトークンでした。アク…

시스템의 확장성을 논할 때 데이터베이스(DB)는 언제나 가장 먼저 병목이 발생하는 지점입니다. 웹 서버는 스케일 아웃(Scale-out)이 비교적 용이하지만, 상태를 가진 DB는 수평 확장에 물리적, 비용적 한계가 명확하기 때문입니다. 초당 수만 건 이상의 요청(RPS)이 발생하는 환경에서 디스크 I/O를 기반으로 하는 DB에 모든 부하를 전가하는 …

Scaling a system to handle 100,000 TPS (Transactions Per Second) is rarely solved by simply adding more database replicas. The bottleneck almost alw…