코드 삽입1 구현단계 보안약점 기준 - 코드 삽입 유형입력데이터 검증 및 표현보안약점코드 삽입개요공격자가 소프트웨어의 의도된 동작을 변경하도록 임의 코드를 삽입하여 소프트웨어가 비정상적으로 동작하도록 하는 보안약점을 말한다. 코드 삽입은 프로그래밍 언어 자체의 기능에 의해서만 제한된다는 점에서 운영체제 명령어 삽입과 다르다.취약한 프로그램에서 사용자의 입력값에 코드가 포함되는 것을 허용할 경우, 공격자는 개발자가 의도하지 않은 코드를 실행하여 권한을 탈취하거나 인증 우회, 시스템 명령어 실행 등을 할 수 있다.보안대책동적코드를 실행할 수 있는 함수를 사용하지 않는다.필요 시, 실행 가능한 동적코드를 입력값으로 받지 않도록, 외부 입력값에 대하여 화이트리스트 방식으로 구현한다. 또는 유효한 문자만 포함하도록 동적코드에 사용되는 사용자 입력값을 필터링한다... 2024. 9. 9. 이전 1 다음
