자격증/SW보안약점 진단원

자격증/SW보안약점 진단원

[SW 보안약점 진단원] XML 조회 및 결과 검증

가. 취약점 개요XML 문서를 조회할 경우 입력값 조작으로 XQuery나 XPath와 같은 XML 질의문의 구조를 임의 로 변경하여 허가되지 않은 데이터를 조회하거나 인증절차를 우회할 수 있다.    나. 설계시 고려사항① XML문서를 조회하는 기능을 구현해야 하는 경우 XML질의문에 사용되는 파라미터는 반드시 XML질의문을 조작할 수 없도록 필터링해서 사용하거나, 미리 작성된 질의문에 입력값을 자료형에 따라 바인딩해서 사용해야 한다. (ㄱ) 공통 검증 컴포넌트를 이용한 입력값 필터링 외부입력값에서 XML삽입 공격이 가능한 문자열들을 필터링하 Validator 컴포넌트를 개발하여 XML조회를 수행하는 애플리케이션 작성시 입력값에 대한 검증 작업이 일괄 적용되도록 설계한다. (ㄴ) 필터 컴포넌트를 이용한 ..

자격증/SW보안약점 진단원

[SW 보안약점 진단원] DBMS 조회 및 결과 검증

가. 취약점 개요데이터베이스(DB)와 연동된 응용프로그램에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우, 공격자가 입력데이터에 SQL 질의문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 보안 취약점을 말한다.   나. 설계시 고려사항 ① 애플리케이션에서 DB연결을 수행할 때 최소권한의 계정을 사용해야 한다.취약한 애플리케이션으로 인해 침해사고가 발생하더라도 나머지 부분에 대해 공격자가 액세스 권한을 가지지 않도록 애플리케이션에서 사용하는 DB연결 계정은 해당 애플리케이션이 사용하는 데이터에 대한 읽기, 쓰기, 삭제, 업데이트 권한만 설정한다. ② 외부 입력값이 삽입되는 SQL질의문을 동적으로 생성해서 실행하지 않도록 해야 한다. SQL 질의문의 구조가 외부 입력값에 의해 변경되지 않는..

DevSecOps
'자격증/SW보안약점 진단원' 카테고리의 글 목록 (4 Page)
상단으로

티스토리툴바