썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 취약한 API 사용

API 오용
취약한 API는 보안상 금지된 함수이거나, 부주의하게 사용될 가능성이 많은 API를 의미한다.이들 범주의 API에 대해 확인하지 않고 사용할 때 보안 문제를 발생시킬 수 있다...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : DNS lookup에 의존한 보안결정

API 오용
공격자가 DNS 엔트리를 속일 수 있으므로 도메인명에 의존해서 보안결정(인증 및 접근 통제 등)을 하지 않아야 한다.만약, 로컬 DNS 서버의 캐시가 공격자에 의해 오염된 상...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : Private 배열에 Public 데이터 할당

캡슐화
Private 배열에 Public 데이터 할당이란?Private 배열에 Public 데이터를 할당하는 행위는 객체의 캡슐화 원칙을 위배하며, 데이터의 무결성과 보안성을 해칠 ...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : Public 메소드 부터 반환된 Private 배열

캡슐화
Public 메소드 부터 반환된 Private 배열이란?Public 메소드를 통해 Private 배열을 직접 반환하는 행위는 객체의 캡슐화 원칙을 위배하는 문제를 발생시킵니다...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 제거되지 않고 남은 디버그 코드

캡슐화
디버깅 목적으로 삽입된 코드는 개발이 완료되면 제거해야 한다.디버그 코드는 설정 등의 민감한 정보를 담거나 시스템을 제어하게 허용하는 부분을 담고 있을 수 있다.만일, 남겨진...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 잘못된 세션에 의한 데이터 정보 노출

캡슐화
다중 스레드 환경에서는 싱글톤(Singleton) 객체 필드에 경쟁조건(Race Condition)이 발생할 수있다. 따라서, 다중 스레드 환경인 Java의 서블릿(Servl...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 신뢰할 수 없는 데이터의 역직렬화

코드오류
신뢰할 수 없는 데이터의 역직렬화란?신뢰할 수 없는 데이터의 역직렬화 취약점은 애플리케이션에서 신뢰할 수 없는 출처로부터 받은 데이터를 역직렬화할 때 발생하는 보안 취약점입니...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 초기화되지 않은 변수 사용

코드오류
C 언어의 경우 스택 메모리에 저장되는 지역변수는 생성될 때 자동으로 초기화되지 않는다.초기화 되지 않은 변수를 사용하게 될 경우 임의값을 사용하게 되어 의도하지 않은 결과를...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 해제된 자원 사용

코드오류
해제된 자원 사용이란?해제된 자원 사용 취약점은 프로그램에서 이미 해제된 메모리나 자원을 참조할 때 발생하는 보안 취약점입니다. 이러한 취약점은 예상치 못한 프로그램 동작이나...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 부적절한 자원 해제

코드오류
부적절한 자원 해제란?부적절한 자원 해제 취약점이란 애플리케이션에서 사용한 자원(메모리, 파일 핸들, 네트워크 연결 등)을 적절히 해제하지 않아 발생하는 보안 취약점입니다. ...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : Null Pointer 역참조

코드오류
컴퓨터 프로그래밍에서, 특히 Java와 같은 언어에서 Null Pointer Dereference (NPD) 취약점은 주의 깊게 다루어야 할 중요한 이슈입니다. 이 취약점은 ...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 부적절한 예외 처리

에러처리
프로그램 수행 중에 함수의 결과값에 대한 적절한 처리 또는 예외 상황에 대한 조건을 적절하게 검사하지 않을 경우,예기치 않은 문제를 야기할 수 있다.소프트웨어 개발보안가이드(...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 오류상황 대응 부재

에러처리
오류상황 대응 부재란?오류상황 대응 부재란, 시스템이나 소프트웨어가 예외 상황이나 오류를 발생했을 때 이를 적절히 처리하지 못하는 경우를 말합니다. 이로 인해 개발자가 의도하...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 오류 메시지 정보노출

에러처리
응용프로그램이 실행환경, 사용자 등 관련 데이터 또는 시스템의 내부데이터 등 민감한 정보를 포함하는 오류 메시지를 생성하여외부에 제공하는 경우, 공격자의 악성 행위를 도울 수...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 종료되지 않는 반복문 또는 재귀함수

시간 및 상태
재귀의 순환횟수를 제어하지 못하여 할당된 메모리나 프로그램 스택 등의 자원을 과다하게사용하면 위험하다. 대부분의 경우, 귀납 조건(Base Case)이 없는 재귀 함수는 무한...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 경쟁조건: 검사시점과 사용시점(TOCTOU)

시간 및 상태
"경쟁조건: 검사시점과 사용시점(TOCTOU) 이란, 동시 또는 거의 동시 수행을 지원하는 병렬 시스템이나 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 반복된 인증시도 제한 기능 부재

보안 기능
반복된 인증시도 제한 기능 부재란?반복된 인증 시도 제한 기능 부재 취약점이란 웹 애플리케이션 또는 시스템이 사용자 인증 과정에서 일정 시도 횟수 이상의 로그인 실패를 감지하...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 무결성 검사 없는 코드 다운로드

보안 기능
원격으로부터 소스코드 또는 실행파일을 무결성 검사 없이 다운로드 받고, 이를 실행하는 제품들이 종종 존재한다.이는 호스트 서버의 변조, DNS 스푸핑(Spoofing) 또는 ...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 솔트 없이 일방향 해시함수 사용

보안 기능
패스워드를 저장 시 일방향 해시함수의 성질을 이용하여 패스워드의 해시값을 저장한다.만약 패스워드를 솔트(Salt)없이 해시하여 저장한다면, 공격자는 레인보우 테이블과 같이 해...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 주석문 안에 포함된 시스템 주요정보

보안 기능
패스워드를 주석문에 넣어두면 시스템 보안이 훼손될 수 있다.소프트웨어 개발자가 편의를 위해서 주석문에 패스워드를 적어둔 경우, 소프트웨어가 완성된 후에는 그것을 제거하는 것이...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 사용자 하드디스크에 저장되는 쿠키를 통한 정보노출

보안 기능
대부분의 웹 응용프로그램에서 쿠키는 메모리에 상주하며, 브라우저의 실행이 종료되면 사라진다.프로그래머가 원하는 경우, 브라우저 세션에 관계없이 지속적으로 저장되도록 설정할 수...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 부적절한 인증서 유효성 검증

보안 기능
인증서를 확인하지 않거나 인증서 확인 절차를 적절하게 수행하지 않아, 악의적인 호스트에연결되거나 신뢰할 수 없는 호스트에서 생성된 데이터를 수신하게 되는 보안약점소프트웨어 개...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 부적절한 전자서명 확인

보안 기능
부적절한 전자서명 확인이란?부적절한 전자서명 확인 취약점은 전자 서명 또는 디지털 서명 시스템의 보안 취약점으로 전자 서명의 유효성을 검증하는 과정에서 충분한 보안 검사를 수...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 취약한 비밀번호 허용

보안 기능
사용자에게 강한 패스워드 조합규칙을 요구하지 않으면, 사용자 계정이 취약하게 되며, 사전 공격(Dictionary Attack), 무차별 대입공격(Brute-Force Att...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 적절하지 않은 난수값 사용

보안 기능
취약점에 대한 이해소프트웨어 및 애플리케이션 개발에서 난수(random numbers)의 사용은 다양한 목적으로 이루어집니다. 예를 들어, 세션 식별자 생성, 토큰 발급, 암...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 충분하지 않은 키 길이 사용

보안 기능
충분하지 않은 키 길이 사용이란?충분하지 않은 키 길이 사용이란 암호화나 해시 함수에서 사용되는 키의 길이가 충분하지 않아 보안성이 떨어지는 취약점을 말합니다. 키의 길이가 ...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 하드코드된 중요정보

보안 기능
프로그램 코드 내부에 하드코드된 패스워드 또는 암호화키를 포함하여 내부 인증에 사용하거나암호화를 수행하면 중요정보(관리자 정보, 암호화된 정보 등)가 유출될 수 있는 보안취약...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 암호화되지 않은 중요정보

보안 기능
사용자 또는 시스템의 중요정보가 포함된 데이터를 평문으로 송수신 ·또는 저장할 때인가되지 않은 사용자에게 민감한 정보가 노출 될 수 있는 보안약점이다.소프트웨어 개발보안가이드...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 취약한 암호화 알고리즘 사용

보안 기능
취약한 암호화 알고리즘 사용이란?"취약한 암호화 알고리즘 사용"은 시스템이나 소프트웨어에서 암호화에 사용되는 알고리즘이 취약하거나 안전하지 않은 알고리즘을 사용함으로써 발생하...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 중요한 자원에 대한 잘못된 권한 설정

보안 기능
취약점에 대한 이해​소프트웨어(SW)는 다양한 중요 보안 자원을 다루며, 이들 자원의 안전한 관리는 어플리케이션의 보안성을 좌우합니다. 하지만 SW가 설정 파일, 데이터베이스...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 부적절한 인가

보안 기능
취약점에 대한 이해"부적절한 인가" 문제는 시스템 내 중요 자원에 대한 접근 통제가 제대로 이루어지지 않아 발생하는 보안 취약점입니다. 이는 사용자가 부여받지 않은 권한으로 ...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 적절한 인증 없는 중요 기능 허용

보안 기능
"적절한 인증 없는 중요기능 허용" 항목은 CWE-306으로 등록되어 있으며, MITRE에서 발표한 가장 위험한 소프트웨어 취약점 25가지 목록에도 포함 되었습니다.이 문제는...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 포맷 스트링 삽입

입력데이터 검증 및 표현
외부로부터 입력된 값을 검증하지 않고 입출력 ·함수의 포맷 문자열로 그대로 사용하는 경우 발생할 수 있는 보안약점이다.공격자는 포맷 문자열을 이용하여 취약한 프로세스를 공격하...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 메모리 버퍼 오버플로우

입력데이터 검증 및 표현
메모리 버퍼 오버플로우 보안약점은 연속된 메모리 공간을 사용하는 프로그램에서할당된 메모리의 범위를 넘어선 위치에 자료를 읽거나 쓰려고 할 때 발생한다.메모리 버퍼 오버플로우는...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 보안기능 결정에 사용되는 부적절한 입력값

입력데이터 검증 및 표현
응용프로그램이 외부 입력값에 대한 신뢰를 전제로 보호메커니즘을 사용하는 경우공격자가 입력값을 조작할 수 있다면 보호메커니즘을 우회할 수 있게 된다.인증이나 인가와 같은 보안결...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 정수형 오버플로우

입력데이터 검증 및 표현
정수형 오버플로우는 정수형 크기는 고정되어 있는데 저장할 수 있는 범위를 넘어서, 크기보다 큰 값을 저장하려 할 때 실제 저장되는 값이 의도치 않게 아주 작은 수이거나 음수가...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : HTTP 응답 분할

입력데이터 검증 및 표현
HTTP 요청에 들어 있는 파라미터가 HTTP 응답헤더에 포함되어 사용자에게 다시 전달될 때, 입력값에 CR(Carriage Return)이나 LF(Line Feed)와 같은...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 서버사이드 요청 위조

입력데이터 검증 및 표현
서버사이드 요청 위조란?https://owasp.org/www-community/attacks/Server_Side_Request_Forgery서버사이드 요청 위조(Serve...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 크로스사이트 요청 위조

입력데이터 검증 및 표현
크로스사이트 요청 위조(CSRF)란?https://owasp.org/www-community/attacks/csrf크로스사이트 요청 위조(CSRF)는 웹 애플리케이션의 보안 ...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : LDAP 삽입

입력데이터 검증 및 표현
공격자가 외부 입력으로 의도하지 않은 LDAP 명령어를 수행할 수 있다.즉, 웹 응용프로그램이 사용자가 제공한 입력을 올바르게 처리하지 못하면, 공격자가 LDAP 명령문의 구...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : XML 삽입

입력데이터 검증 및 표현
검증되지 않은 외부 입력 값이 XQuery 또는 XPath 쿼리문을 생성하는 문자열로 사용되어 공격자가 쿼리문의 구조로 임의로 변경하고임의의 쿼리를 실행하여 허가되지 않은 데...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 부적절한 XML 외부개체 참조

입력데이터 검증 및 표현
XML 문서에는 DTD(Document Type Definition)를 포함할 수 있으며, DTD는 XML 엔티티(Entity)를 정의한다.부적절한 XML 외부개체 참조 보안...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 신뢰되지 않은 URL 주소로 자동접속 연결

입력데이터 검증 및 표현
사용자로부터 입력되는 값을 외부사이트의 주소로 사용하여 자동으로 연결하는 서버 프로그램은 피싱(Phishing) 공격에 노출되는 취약점을 가질 수 있다. 일반적으로 클라이언트...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 위험한 형식 파일 업로드

입력데이터 검증 및 표현
서버 측에서 실행될 수 있는 스크립트 파일(asp, jsp, php 파일 등)이 업로드 가능하고, 이 파일을공격자가 웹으로 직접 실행시킬 수 있는 경우, 시스템 내부명령어를 ...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 운영체제 명령어 삽입

입력데이터 검증 및 표현
운영체제 명령어 삽입https://owasp.org/www-community/attacks/Command_Injection운영체제 명령어 삽입의 경우 적절한 검증 절차를 거치...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 크로스사이트 스크립트(XSS)

입력데이터 검증 및 표현
크로스사이트 스크립트(XSS)https://owasp.org/www-community/attacks/xss/크로스사이트 스크립트(XSS)의 경우 웹 애플리케이션에서 가장 흔하...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 경로 조작 및 자원 삽입

입력데이터 검증 및 표현
경로 조작 및 자원 삽입https://owasp.org/www-community/attacks/Path_Traversal우선 소프트웨어 개발보안가이드(2021)에서는 이 공격...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : 코드 삽입

입력데이터 검증 및 표현
코드 삽입https://owasp.org/www-community/attacks/Code_Injection코드 삽입이란 공격자가 소프트웨어의 입력값 유효성 검증 결함을 악용하...

Read More
썸네일 이미지

소프트웨어 개발보안 가이드 분석(2021) : SQL 삽입

입력데이터 검증 및 표현
SQL 삽입이란?https://owasp.org/www-community/attacks/SQL_InjectionSQL 삽입은 웹 응용 프로그램에서 발생하는 보안 취약점 중 ...

Read More