| 유형 | 입력데이터 검증 및 표현 |
| 설계항목 | 디렉토리 서비스 조회 및 결과 검증 |
| 설명 | 디렉토리 서비스(LDAP 등)를 조회할 때 입력값과 그 조회결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법을 설계한다. |
| 보안대책 | ① LDAP 인증서버로 인증을 구현하는 경우 인증요청을 위해 사용되는 외부입력값은 LDAP 삽입 취약점을 가지지 않도록 필터링해서 사용해야 한다. |
| 연관된 구현단계 기준 | LDAP 삽입 |
취약점 개요
외부입력값이 LDAP 조회를 수행하기 위한 필터 생성에 사용되는 경우 필터규칙을 변경할 수 있는 입력값에 대한 검증 작업을 수행하지 않으면 공격자가 의도하는 LDAP 조회가 수행될 수 있는 취약점이다.
설계 시 고려사항
① LDAP 인증서버로 인증을 구현하는 경우 인증요청을 위해 사용되는 외부입력값은 LDAP 삽입 취약점을 가지지 않도록 필터링해서 사용해야 한다.
외부입력값이 LDAP 조회를 위한 검색 필터 생성에 삽입되어 사용되는 경우, 필터 규칙으로 인식 가능한 특수문자(= , + , < , > , # , ; , \ 등)를 제거하고 사용할 수 있도록 시큐어코딩 규칙을 정의해야 한다.
※ 활용 가능한 프레임워크 또는 라이브러리
LDAP Syntax Filters (Java, PHP, ASP)
진단 세부사항
요구사항 ① LDAP 인증서버로 인증을 구현하는 경우 인증요청을 위해 사용되는 외부입력값은 LDAP 삽입 취약점을 가지지 않도록 필터링해서 사용해야 한다.
- 외부입력값이 LDAP 조회를 위한 필터 생성에 삽입되어 사용되는 경우, 안전하게 사용될 수 있도록 보안설계가 적용되어 있는지 확인
- LDAP 삽입 취약점을 점검할 수 있는 테스트 계획이 수립되어 있는지 확인
. 테스트 입력값 : = , + , < , > , # , ; , \ 등
'Cert > 소프트웨어(SW) 보안약점 진단원' 카테고리의 다른 글
| 설계단계 보안설계 기준 - 웹 서비스 요청 및 결과 검증 (0) | 2024.08.22 |
|---|---|
| 설계단계 보안설계 기준 - 시스템 자원 접근 및 명령어 수행 입력값 검증 (0) | 2024.08.21 |
| 설계단계 보안설계 기준 - XML 조회 및 결과 검증 (0) | 2024.08.21 |
| 설계단계 보안설계 기준 - DBMS 조회 및 결과 검증 (0) | 2024.08.20 |
| 설계단계 보안설계 기준과 구현단계 보안약점 제거 기준 관계 (0) | 2024.08.20 |
