📝 주석문 안에 포함된 시스템 주요정보 - 실습 시뮬레이터

CWE-615: Inclusion of Sensitive Information in Source Code Comments

✅ 학습 진행도
  • 진단 시작
  • 계정 정보 제거
  • IP 정보 제거
✏️ Java 코드 에디터 취약한 코드
DBConfig.java 
public class DBConfig {
    public void init() {
        // DB 연결 초기화 로직
        
        // [취약점] 개발 편의를 위해 남겨둔 주석에 중요 정보가 포함됨
        // TODO: 운영 배포 시 아래 계정 삭제할 것
        // 관리자 계정: root / 패스워드: admin1234!@#
        // 테스트 서버 IP: 192.168.0.100
        
        System.out.println("DB Initialized...");
    }
}
💡 수정 가이드
1. 주석 삭제

계정, 패스워드, IP 등이 포함된 주석 라인을 모두 지우세요.

📊 분석 결과
🎯 목표

소스 코드 주석에 포함된 시스템 주요 정보(ID, PW, IP 등)는 공격자에게 유용한 정보를 제공합니다. 이를 식별하여 모두 제거하세요.

✅ 학습 진행도
  • 진단 시작
  • API Key 제거
🐍 Python 코드 에디터 취약한 코드
aws_connect.py 
import boto3

def connect_s3():
    # S3 버킷 연결
    # [취약점] 주석에 API 키가 포함되어 있음
    # AWS Access Key: AKIAIOSFODNN7EXAMPLE
    # AWS Secret Key: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    
    s3 = boto3.client('s3')
    return s3
💡 수정 가이드
1. 키 정보 삭제

AWS Access Key 등 민감한 키 정보가 포함된 주석을 삭제하세요.

📊 분석 결과
🎯 목표

클라우드 서비스의 접근 키가 주석에 노출되면 심각한 보안 사고로 이어질 수 있습니다. 해당 주석을 제거하여 코드를 안전하게 만드세요.