| 구분 | 설계단계 | 구현단계 |
| 입력 데이터 검증 및 표현 (10개) |
DBMS 조회 및 결과 검증 | SQL 삽입 |
| XML 조회 및 결과 검증 | XML 삽입 부적절한 XML 외부개체 참조 |
|
| 디렉토리 서비스 조회 및 결과 검증 | LDAP 삽입 | |
| 시스템 자원 접근 및 명령어 수행 입력값 검증 | 코드 삽입 경로 조작 및 자원 삽입 서버사이드 요청 위조 운영체제 명령어 삽입 |
|
| 웹 서비스 요청 및 결과 검증 | 크로스사이트 스크립트 | |
| 웹 기반 중요 기능 수행 요청 유효성 검증 | 크로스사이트 요청 위조 | |
| HTTP 프로토콜 유효성 검증 | 신뢰되지 않는 URL 주소로 자동접속 연결 HTTP 응답분할 |
|
| 허용된 범위내 메모리 접근 | 포맷 스트링 삽입 메모리 버퍼 오버플로우 |
|
| 보안기능 입력값 검증 | 보안기능 결정에 사용되는 부적절한 입력값 정수형 오버플로우 Null Pointer 역참조 |
|
| 업로드, 다운로드 파일 검증 | 위험한 형식 파일 업로드 부적절한 전자서명 확인 무결성 검사 없는 코드 다운로드 |
|
| 보안기능 (8개) |
인증 대상 및 방식 | 서버사이드 요청 위조 적절한 인증 없는 중요기능 허용 부적절한 인증서 유효성 검증 DNS lookup에 의존한 보안결정 |
| 인증 수행 제한 | 반복된 인증시도 제한 기능 부재 | |
| 비밀번호 관리 | 하드코드된 중요정보 취약한 비밀번호 허용 |
|
| 중요자원 접근통제 | 부적절한 인가 중요한 자원에 대한 잘못된 권한 설정 |
|
| 암호키 관리 | 하드코드된 중요정보 주석문 안에 포함된 시스템 주요정보 |
|
| 암호연산 | 취약한 암호화 알고리즘 사용 충분하지 않은 키 길이 사용 적절하지 않은 난수 값 사용 부적절한 인증서 유효성 검증 솔트 없이 일방향 해쉬 함수 사용 |
|
| 중요정보 저장 | 암호화되지 않은 중요정보 사용자 하드디스크에 저장되는 쿠키를 통한 정보 노출 |
|
| 중요정보 전송 | 암호화되지 않은 정요정보 | |
| 에러처리 (1개) |
예외처리 | 오류 메시지 정보노출 |
| 세션통제 (1개) |
세션통제 | 잘못된 세션에 의한 데이터 정보 노출 |
'Cert > 소프트웨어(SW) 보안약점 진단원' 카테고리의 다른 글
| 설계단계 보안설계 기준 - 웹 서비스 요청 및 결과 검증 (0) | 2024.08.22 |
|---|---|
| 설계단계 보안설계 기준 - 시스템 자원 접근 및 명령어 수행 입력값 검증 (0) | 2024.08.21 |
| 설계단계 보안설계 기준 - 디렉토리 서비스 조회 및 결과 검증 (0) | 2024.08.21 |
| 설계단계 보안설계 기준 - XML 조회 및 결과 검증 (0) | 2024.08.21 |
| 설계단계 보안설계 기준 - DBMS 조회 및 결과 검증 (0) | 2024.08.20 |
