입력데이터 검증 및 표현(10)
번호 | 분석/설계단계 | 구현단계 |
1 | DBMS 조회 및 결과 검증 | SQL 삽입 |
2 | XML 조회 및 결과 검증 | XML삽입 부적절한 XML 외부개체 참조 |
3 | 디렉토리 서비스 조회 및 결과 검증 | LDAP 삽입 |
4 | 시스템 자원 접근 및 명령어 수행 입력값 검증 | 코드삽입 경로조작 및 자원 삽입 서버사이드 요청 위조 운영체제 명령어 삽입 |
5 | 웹 서비스 요청 및 결과 검증 | 크로스 사이트 스크립트 |
6 | 웹 기반 중요 기능 수행 요청 유효성 검증 | 크로스사이트 요청 위조 |
7 | HTTP 프로토콜 유효성 검증 | 신뢰되지 않는 URL 주소로 자동접속 연결 HTTP 응답 분할 |
8 | 허용된 범위내 메모리 접근 | 포맷 스트링 삽입 메모리 버퍼 오버플로우 |
9 | 보안기능 입력값 검증 | 보안기능 결정에 사용되는 부적절한 입력값 정수형 오버플로우 Null Pointer 역참조 |
10 | 업로드 다운로드 파일 검증 | 위험한 형식 파일 업로드 부적절한 전자서명 확인 무결성 검사 없는 코드 다운로드 |
보안기능(8)
번호 | 분석/설계단계 | 구현단계 |
1 | 인증 대상 및 방식 | 서버사이드 요청 위조 적절한 인증 없는 중요기능 허용 부적절한 인증서 유효성 검증 DNS lookup에 의존한 보안결정 |
2 | 인증 수행 제한 | 반복된 인증시도 제한기능 부재 |
3 | 비밀번호 관리 | 하드코드된 중요정보 취약한 비밀번호 허용 |
4 | 중요자원 접근통제 | 부적절한 인가 중요자원에 대한 잘못된 권한 설정 |
5 | 암호키 관리 | 하드코드된 중요정보 주석문 안에 포함된 시스템 주요정보 |
6 | 암호연산 | 취약한 암호화 알고리즘 사용 충분하지 않은 키 길이 사용 적절하지 않은 난수 값 사용 부적절한 인증서 유효성 검증 솔트 없이 일방향 해쉬함수 사용 |
7 | 중요정보 저장 | 암호화 되지 않은 중요정보 사용자 하드디스크에 저장되는 쿠키를 통한 정보 노출 |
8 | 중요정보 전송 | 암호화 되지 않은 중요정보 |
예외처리(1) / 세션통제(1)
번호 | 분석/설계단계 | 구현단계 |
1 | 예외처리 | 오류 메시지 정보 노출 |
1 | 세션 통제 | 잘못된 세션에 의한 데이터 정보 노출 |
매칭이 안된 구현단계 항목
번호 | 구현단계 |
1 | 경쟁조건: 검사 시점과 사용 시점(TCOTOU) |
2 | 종료되지 않는 반복문 또는 재귀함수 |
3 | 오류상황 대응 부재 |
4 | 부적절한 예외 처리 |
5 | 부적절한 자원 해제 |
6 | 해제된 자원 사용 |
7 | 초기화되지 않은 변수 사용 |
8 | 신뢰할 수 없는 데이터의 역직렬화 |
9 | 제거되지 않고 남은 디버그 코드 |
10 | Public 메소드로부터 반환된 Private 배열 |
11 | Private 배열에 Public 데이터 할당 |
12 | 취약한 API 사용 |
'보안 > SW보안약점 진단원' 카테고리의 다른 글
[설계보안] 시스템 자원 접근 및 명령어 수행 입력값 검증 (0) | 2022.06.22 |
---|---|
[설계보안] 디렉토리 서비스 조회 및 결과 검증 (0) | 2022.06.22 |
[설계보안] XML 조회 및 결과 검증 (0) | 2022.06.22 |
[설계보안] DBMS 조회 및 결과 검증 (0) | 2022.06.22 |
준비 ① (0) | 2022.06.21 |