소프트웨어 보안 취약점 7가지 / 가트너

#1 소프트웨어 보안 취약점 7가지

한국인터넷진흥원에서 발간한 소프트웨어 개발 보안 가이드에 소스코드 보안 취약점 47가지가 7개 종류로 구분하여 설명되고 있다.

 

1. 입력 데이터 검증 및 표현 (15개)

사용자가 입력한 값에 대한 검증과정 및 데이터 자료형에 대한 오용으로 인한 보안 취약점

• SQL 삽입
• 크로스사이트 스크립트 (XSS)
• 크로스사이트 요청 위조 (CSRF)
• Format String Bug
• 버퍼오버플로우
• 위험한 형식 파일 업로드 (이하 생략)

2. API 악용 (2개)

API의 잘못된 사용

• DNS lookup에 의존한 보안결정
• 취약한 API 사용

3. 보안기능 (16개)

인증, 접근제어 암호화등 기본적인 보안기능과 관련

• 중요정보 평문 저장
• 중요정보 평문 전송
• 하드코딩된 비밀번호
• 하드코딩된 암호화 키
• 충분하지 않은 키 길이 사용 (이하생략)

4. 시간 및 상태 (2개)

멀티 프로세스/스레드 프로그래밍에서 발생 할 수 있음

• 레이스 컨디션
• 종료되지 않는 반복문 또는 재귀 함수

5. 에러처리 (3개)

앱 사용 시 발생할 수 있는 에러처리와 관련된 취약점

• 오류 메시지를 통한 정보 노출
• 오류 상황 대응 부재
• 부적절한 예외 처리

6. 코드품질 (4개)

앱 안정성, 신뢰성을 확보하기 위한 소스코드 품질 관련 취약점

• Null Pointer 역참조
• 부적절한 자원 해제
• 해제된 자원 사용
• 초기화되지 않은 변수 사용

7. 캡슐화 (5개)

앱이 다른 값을 참조할 때 발생하는 취약점

• 잘못된 세션에 의한 데이터 정보 노출
• 제거되지 않고 남은 디버그 코드
• 시스템 데이터 정보노출
• Pubilc 메소드로부터 반환된 Private 배열
• Private 배열에 Public 데이터 할당

 

입 A 보 시 에 코 캡