본문 바로가기

전체 글54

MS-SQL 날짜 변환표 (CONVERT) 기준날짜 : 2024년 9월 26일 15시 3분 19.860초 구분쿼리결과포맷0CONVERT(CHAR(19), DATETIME, 0)09 26 2024  3:03PMMM DD YYYY H:MM1CONVERT(CHAR(10), DATETIME, 1)09/26/24MM/DD/YYYY2CONVERT(CHAR(8), DATETIME, 2)24.09.26YY.MM.DD3CONVERT(CHAR(8), DATETIME, 3)26/09/24DD/MM/YY4CONVERT(CHAR(8), DATETIME, 4)26.09.24DD.MM.YY5CONVERT(CHAR(8), DATETIME, 5)26-09-24DD-MM-YY6CONVERT(CHAR(8), DATETIME, 6)26 09 24DD MM YY7CONVERT(CHA.. 2024. 9. 27.
구현단계 보안약점 기준 - 경로 조작 및 자원 삽입 유형입력데이터 검증 및 표현보안약점경로 조작 및 자원 삽입개요검증되지 않은 외부입력값으로 파일 및 서버 등 시스템 자원에 대한 접근 혹은 식별을 허용할 경우, 입력값 조작으로 시스템이 보호하는 자원에 임의로 접근할 수 있는 보안약점이다.경로 조작 및 자원 삽입 약점을 이용하여 공격자는 자원의 수정, 삭제, 시스템 정보누출, 시스템 자원 간 충돌로 인한 서비스 장애 등을 유발시킬 수 있다.보안대책외부의 입력을 자원(파일, 소켓의 포트 등)의 식별자로 사용하는 경우, 적절한 검증을 거치도록 하거나 사전에 정의된 적합한 리스트에서 선택되도록 한다.특히, 외부의 입력이 파일명인 경우에는 경로 순회(directory traversal) 공격의 위험이 있는 문자(" / \ .. 등)를 제거할 수 있는 필터를 이용한.. 2024. 9. 12.
구현단계 보안약점 기준 - 코드 삽입 유형입력데이터 검증 및 표현보안약점코드 삽입개요공격자가 소프트웨어의 의도된 동작을 변경하도록 임의 코드를 삽입하여 소프트웨어가 비정상적으로 동작하도록 하는 보안약점을 말한다. 코드 삽입은 프로그래밍 언어 자체의 기능에 의해서만 제한된다는 점에서 운영체제 명령어 삽입과 다르다.취약한 프로그램에서 사용자의 입력값에 코드가 포함되는 것을 허용할 경우, 공격자는 개발자가 의도하지 않은 코드를 실행하여 권한을 탈취하거나 인증 우회, 시스템 명령어 실행 등을 할 수 있다.보안대책동적코드를 실행할 수 있는 함수를 사용하지 않는다.필요 시, 실행 가능한 동적코드를 입력값으로 받지 않도록, 외부 입력값에 대하여 화이트리스트 방식으로 구현한다. 또는 유효한 문자만 포함하도록 동적코드에 사용되는 사용자 입력값을 필터링한다... 2024. 9. 9.
구현단계 보안약점 기준 - SQL 삽입 유형입력데이터 검증 및 표현보안약점SQL 삽입개요데이터베이스(DB)와 연동된 웹 응용프로그램에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우, 공격자가 입력 폼 및 URL 입력란에 SQL 문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 보안약점을 말한다.취약한 웹 응용프로그램에서는 사용자로부터 입력된 값을 필터링 과정 없이 넘겨받아 동적쿼리(Dynamic Query)를 생성하기 때문에 개발자가 의도하지 않은 쿼리가 생성되어 정보유출에 악용될 수 있다.보안대책PreparedStatement 객체 등을 이용하여 DB에 컴파일된 쿼리문(상수)을 전달하는 방법을 사용한다.PreparedStatement를 사용하는 경우에는  DB 쿼리에 사용되는 외부 입력값에 대하여 특수문자 및 쿼리 예약어를 .. 2024. 9. 9.
설계단계 보안설계 기준 - 세션통제 유형세션통제설계항목세션통제설명다른 세션간 데이터 공유금지, 세션 ID 노출금지, (재)로그인 시 세션ID 변경, 세션종료(비활성화, 유효기간 등) 처리 등 세션을 안전하게 관리할 수 있는 방안을 설계해야 한다.보안대책① 세션 간 데이터가 공유되지 않도록 설계해야 한다.② 세션이 안전하게 관리되도록 해야 한다.③ 세션ID가 안전화게 관리되도록 해야 한다.연관된 구현단계 기준잘못된 세션에 의한 데이터 정보 노출 취약점 개요 사례1 : 불충분한 세션관리인증 시 일정한 규칙이 존재하는 세션ID가 발급되거나 세션 타임아웃을 너무 길게 설정한 경우 공격자에게 의해 사용자 권한이 도용될 수 있는 취약점이다.  사례2 : 잘못된 세션에 의한 정보노출다중 스레드 환경에서는 싱글톤(Singleton) 객체 필드에 경쟁조건.. 2024. 8. 26.
설계단계 보안설계 기준 - 예외처리 유형에러처리설계항목예외처리설명오류메시지에 중요정보(개인정보, 시스템 정보, 민감 정보 등)가 노출되거나, 부적절한 에러 및 오류처리로 인하여 의도치 않은 상황이 발생하지 않도록 설계한다.보안대책① 명시적인 예외의 경우 예외처리 블록을 이용하여 예외 발생 시 수행해야 하는 기능이 구현되도록 해야 한다.② 런타임 예외의 경우 입력값의 범위를 체크하여 애플리케이션이 정상적으로 동작할 수 있는 값만 사용되도록 보장해야 한다.③ 에러가 발생한 경우 상세한 에러 정보가 사용자에게 노출되지 않게 해야 한다.연관된 구현단계 기준 오류 메시지 정보노출  취약점 개요 사례1 : 오류 메시지 정보노출웹 서버에 별도의 에러페이지를 설정하지 않은 경우 에러 메시지로 서버 데이터 정보 등 공격에 필요한 정보가 노출되는 취약점이다.. 2024. 8. 26.

티스토리툴바