자격증/SW보안약점 진단원
[SW 보안약점 진단원] DBMS 조회 및 결과 검증
가. 취약점 개요데이터베이스(DB)와 연동된 응용프로그램에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우, 공격자가 입력데이터에 SQL 질의문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 보안 취약점을 말한다. 나. 설계시 고려사항 ① 애플리케이션에서 DB연결을 수행할 때 최소권한의 계정을 사용해야 한다.취약한 애플리케이션으로 인해 침해사고가 발생하더라도 나머지 부분에 대해 공격자가 액세스 권한을 가지지 않도록 애플리케이션에서 사용하는 DB연결 계정은 해당 애플리케이션이 사용하는 데이터에 대한 읽기, 쓰기, 삭제, 업데이트 권한만 설정한다. ② 외부 입력값이 삽입되는 SQL질의문을 동적으로 생성해서 실행하지 않도록 해야 한다. SQL 질의문의 구조가 외부 입력값에 의해 변경되지 않는..
