|
구분
|
|
(설계) 보안요구항목
|
보안약점
|
|
입력 데이터 검증 및 표현
|
1
|
SR1-1 DBMS 조회 및 결과 검증
|
SQL 삽입
|
|
2
|
SR1-2 XML 조회 및 결과 검증
|
XQuery 삽입
|
|
|
XPath 삽입
|
|||
|
3
|
SR1-3 디렉토리 서비스 조회 및 결과 검증
|
LDAP 삽입
|
|
|
4
|
SR1-4 시스템 자원 접근 및 명령어 수행 입력값 검증
|
경로조작 및 자원삽입
|
|
|
운영체제 명령어 삽입
|
|||
|
5
|
SR1-5 웹 서비스 요청 및 결과 검증
|
크로스사이트 스크립트
|
|
|
6
|
SR1-6 웹 기반 중요기능 수행 요청 유효성 검증
|
크로스사이트 요청 위조
|
|
|
7
|
SR1-7 HTTP 프로토콜 유효성 검증
|
신뢰되지 않은 URL 주소로 자동접속 연결
|
|
|
HTTP 응답분할
|
|||
|
8
|
SR1-8 허용된 범위내 메모리 접근
|
포맷스트링 삽입
|
|
|
메모리 버퍼 오버플로우
|
|||
|
9
|
SR1-9 보안기능 동작에 사용되는 입력값 검증
|
보안기능 결정에 사용되는 부적절한 입력값
|
|
|
정수형 오버플로우
|
|||
|
Null Pointer 역참조
|
|||
|
10
|
SR1-10 업로드-다운로드 파일 검증
|
위험한 형식 파일 업로드
|
|
|
무결성 검사 없는 코드 다운로드
|
|||
|
보안기능
|
11
|
SR2-1 인증대상 및 방식
|
적절한 인증 없는 중요기능 허용
|
|
12
|
SR2-2 인증수행 제한
|
반복된 인증시도 제한기능 부재
|
|
|
13
|
SR2-3 비밀번호 관리
|
하드코드된 비밀번호
|
|
|
취약한 비밀번호 허용
|
|||
|
14
|
SR2-4 중요자원 접근통제
|
부적절한 인가
|
|
|
중요한 자원에 대한 잘못된 권한 설정
|
|||
|
15
|
SR2-5 암호키 관리
|
하드코드된 암호화 키
|
|
|
주석문 안에 포함된 시스템 주요 정보
|
|||
|
16
|
SR2-6 암호연산
|
취약한 암호화 알고리즘 사용
|
|
|
충분하지 않은 키 길이 사용
|
|||
|
적절하지 않은 난수 값 사용
|
|||
|
솔트없이 일방향 해시함수 사용
|
|||
|
17
|
SR2-7 중요정보 저장
|
중요정보 평문저장
|
|
|
사용자 하드디스크에 저장되는 쿠키를 통한 정보노출
|
|||
|
18
|
SR2-8 중요정보 전송
|
중요정보 평문전송
|
|
|
에러처리
|
19
|
SR3-1 예외처리
|
오류메시지를 통한 정보노출
|
|
시스템 데이터 정보노출
|
|||
|
세션통제
|
20
|
SR4-1 세션통제
|
잘못된 세션에 의한 데이터 정보노출
|
'▶ SW보안약점 진단원' 카테고리의 다른 글
| (자료) 개인정보의 암호화 조치 안내서 (2020.12) (0) | 2023.04.06 |
|---|---|
| (자료) 소프트웨어 보안약점 진단원 참고 자료 (0) | 2023.04.06 |
| (구현) 취약점 (0) | 2023.04.04 |
| S/W 보안약점진단원 용어정리 (0) | 2023.04.04 |
댓글