|
구분
|
|
(구현) 취약점
|
|
1. 입력 데이터 검증 및 표현
|
1
|
1-1. SQL 삽입
|
|
2
|
1-2. 경로 조작 및 자원 삽입
|
|
|
3
|
1-3. 크로스사이트 스크립트
|
|
|
4
|
1-4. 운영체제 명령어 삽입
|
|
|
5
|
1-5. 위험한 형식 파일 업로드
|
|
|
6
|
1-6. 신뢰되지 않은 URL 주소로 자동접속 연결
|
|
|
7
|
1-7. XQuery 삽입
|
|
|
8
|
1-8. XPath 삽입
|
|
|
9
|
1-9. LDAP 삽입
|
|
|
10
|
1-10. 크로스사이트 요청 위조
|
|
|
11
|
1-11. HTTP 응답 분할
|
|
|
12
|
1-12. 정수형 오버플로우
|
|
|
13
|
1-13. 보안 기능 결정에 사용되는 부적절한 입력값
|
|
|
14
|
1-14. 메모리 버퍼 오버플로우
|
|
|
15
|
1-15. 포맷스트링 삽입
|
|
|
2. 보안기능
|
16
|
2-1. 적절한 인증없는 중요기능 허용
|
|
17
|
2-2. 부적절한 인가
|
|
|
18
|
2-3. 중요한 자원에 대한 잘못된 권한 설정
|
|
|
19
|
2-4. 취약한 암호화 알고리즘 사용
|
|
|
20
|
2-5. 중요정보 평문저장
|
|
|
21
|
2-6. 중요정보 평문전송
|
|
|
22
|
2-7. 하드코드된 비밀번호
|
|
|
23
|
2-8. 충분하지 않은 키 길이 사용
|
|
|
24
|
2-9. 적절하지 않은 난수 값 사용
|
|
|
25
|
2-10. 하드코드된 암호화 키
|
|
|
26
|
2-11. 취약한 비밀번호 허용
|
|
|
27
|
2-12. 사용자 하드디스크에 저장되는 쿠키를 통한 정보노출
|
|
|
28
|
2-13. 주석문 안에 포함된 시스템 주요 정보
|
|
|
29
|
2-14. 솔트없이 일방향 해쉬 함수 사용
|
|
|
30
|
2-15. 무결성 검사 없는 코드 다운로드
|
|
|
31
|
2-16. 반복된 인증시도 제한 기능 부재
|
|
|
3. 시간 및 상태
|
32
|
3-1. 경쟁조건 : 검사시점과 사용시점 (TOCTOU)
|
|
33
|
3-2. 종료되지 않은 반복문 또는 재귀함수
|
|
|
4. 에러처리
|
34
|
4-1. 오류 메시지를 통한 정보 노출
|
|
35
|
4-2. 오류 상황 대응 부재
|
|
|
36
|
4-3. 부적절한 예외 처리
|
|
|
5. 코드오류
|
37
|
5-1. Null Pointer 역참조
|
|
38
|
5-2. 부적절한 자원 해제
|
|
|
39
|
5-3. 해제된 자원 사용
|
|
|
40
|
5-4. 초기화되지 않은 변수 사용
|
|
|
6. 캡슐화
|
41
|
6-1. 잘못된 세션에 의한 데이터 정보 노출
|
|
42
|
6-2. 제거되지 않고 남은 디버그 코드
|
|
|
43
|
6-3. 시스템 데이터 정보 노출
|
|
|
44
|
6-4. Public 메소드로부터 반환된 Private 배열
|
|
|
45
|
6-5. Private 배열에 Public 데이터 할당
|
|
|
7. API 오용
|
46
|
7-1. DNS Lookup에 의존한 보안결정
|
|
47
|
7-2. 취약한 API 사용
|
'▶ SW보안약점 진단원' 카테고리의 다른 글
| (자료) 개인정보의 암호화 조치 안내서 (2020.12) (0) | 2023.04.06 |
|---|---|
| (자료) 소프트웨어 보안약점 진단원 참고 자료 (0) | 2023.04.06 |
| (설계) 보안요구항목 (0) | 2023.04.04 |
| S/W 보안약점진단원 용어정리 (0) | 2023.04.04 |
댓글