<보안 취약점과 보안 약점>
해킹 등 외부 공격으로 시스템의 보안정책을 침해하는 보안사고의 실제 원인이 되는 시스템상의 보안허점으로 운영 단계에서의 보안 리스크를 보안 취약점(Vulnerability) 라고 한다. 그리고 보안 취약점(Vulnerability) 의 근본적인 원인이 되는 소프트웨어의 결함, 실수 버그 등의 오류이며 개발 단계의 보안 리스크를 보안 약점(Weakness)라고 한다.
<시큐어 코딩 가이드>
1. 입력 데이터 검증 및 표현
프로그램 입력값에 대한 검증 누락, 부적절한 검증, 잘못된 형식 지정을 통해 발생한다.
사용자, 프로그램 입력 데이터에 대한 유효성 검증 체계를 수립하고 실패 시 처리 설계 및 구현을 통해 대응한다.
프로그램 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식 지정으로 인해 발생할 수 있는 보안 약점
SQL 삽입 공격, 크로스 사이트 스크립트(XSS) 공격 유발
2. 보안 기능
보안기능(인증, 접근제어, 기밀성, 암호화, 권한 관리 등)을 적절하지 않게 구현시 발생할 수 있는 보안약점
인증, 권한 관리, 암호화, 중요정보 처리를 부적절하게 구현 시 발생
3. 시간 및 상태
동시 또는 거의 동시 수행을 지원하는 병렬 시스템, 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리하여 발생할 수 있는 보안약점
4. 에러 처리
에러를 처리하지 않거나, 불충분하게 처리하여 시스템의 중요 정보가 노출되는 보안 약점
5. 코드 오류
타입 변환 오류, 자원의 부적절한 해제와 같은 개발자의 실수로 인해 발생될 수 있는 보안약점
6. 캡슐화
중요 데이터 또는 기능성을 불충하게 캡슐화하여 처리하는 경우 인가되지 않은 사용자에게 데이터가 누출 가능한 보안 약점
잘못된 세션으로 정보 노출 / 제거되지 않은 디버그 코드 / 시스템 정보 노출로 발생
7. API 오용
의도된 사용에 위배되는 방법으로 API를 사용하거나, 보안에 취약한 API를 사용하여 발생할 수 있는 보안 약점
'정보처리기사' 카테고리의 다른 글
| [정보처리기사 이론 정리]소프트웨어 개발 보안 (0) | 2022.03.24 |
|---|---|
| [정보처리기사 이론 정리]데이터 타입 (0) | 2022.03.24 |
| [정보처리기사 이론 정리]소프트웨어 아키텍처 (0) | 2022.03.24 |
| [정보처리기사 이론 정리]이상 현상 (0) | 2022.03.24 |
| [정보처리기사 이론 정리]프로그래밍 언어 (0) | 2022.03.24 |