반응형
#1 소프트웨어 보안 취약점 7가지
한국인터넷진흥원에서 발간한 소프트웨어 개발 보안 가이드에 소스코드 보안 취약점 47가지가 7개 종류로 구분하여 설명되고 있다.
1. 입력 데이터 검증 및 표현 (15개)
사용자가 입력한 값에 대한 검증과정 및 데이터 자료형에 대한 오용으로 인한 보안 취약점
- SQL 삽입
- 크로스사이트 스크립트 (XSS)
- 크로스사이트 요청 위조 (CSRF)
- Format String Bug
- 버퍼오버플로우
- 위험한 형식 파일 업로드 (이하 생략)
2. API 악용 (2개)
API의 잘못된 사용
- DNS lookup에 의존한 보안결정
- 취약한 API 사용
3. 보안기능 (16개)
인증, 접근제어 암호화등 기본적인 보안기능과 관련
- 중요정보 평문 저장
- 중요정보 평문 전송
- 하드코딩된 비밀번호
- 하드코딩된 암호화 키
- 충분하지 않은 키 길이 사용 (이하생략)
4. 시간 및 상태 (2개)
멀티 프로세스/스레드 프로그래밍에서 발생 할 수 있음
- 레이스 컨디션
- 종료되지 않는 반복문 또는 재귀 함수
5. 에러처리 (3개)
앱 사용 시 발생할 수 있는 에러처리와 관련된 취약점
- 오류 메시지를 통한 정보 노출
- 오류 상황 대응 부재
- 부적절한 예외 처리
6. 코드품질 (4개)
앱 안정성, 신뢰성을 확보하기 위한 소스코드 품질 관련 취약점
- Null Pointer 역참조
- 부적절한 자원 해제
- 해제된 자원 사용
- 초기화되지 않은 변수 사용
7. 캡슐화 (5개)
앱이 다른 값을 참조할 때 발생하는 취약점
- 잘못된 세션에 의한 데이터 정보 노출
- 제거되지 않고 남은 디버그 코드
- 시스템 데이터 정보노출
- Pubilc 메소드로부터 반환된 Private 배열
- Private 배열에 Public 데이터 할당
입 A 보 시 에 코 캡
반응형
'⭐ 보안기사' 카테고리의 다른 글
Slowloris / RUDY / Hulk DoS 공격방식 및 대응법 (0) | 2020.11.30 |
---|---|
정보보안기사 실기 15회 기출문제 (0) | 2020.10.21 |
리눅스 TCP Wrapper(TCP 래퍼) / 예제문제 (0) | 2020.07.09 |
XXE 취약점 / 대응방안 / 예제문제 (0) | 2020.07.01 |
클라우드 서비스 제공모델 3가지(SaaS,PaaS,IaaS), 구축모델 4가지 (1) | 2020.06.22 |