반응형

보안 공부 168

소스코드 보안약점 진단 - 부적절한 자원 해제

소스코드 보안약점 진단 // 소프트웨어 보안약점 진단 // SW 보안약점 진단과 같이 다양한 이름으로 불리는 진단 과업 중 하나이다. SW개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW개발단계에서 사전에 제거하고 SW 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발·운영하기 위한 목적으로 적용하는 개발체계이다. 해당 내용은 KISA에서 발간하는 취약점 진단 가이드 항목을 기준으로 작성한다. 제 5절 코드오류 타입 변환 오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범할 수 있는 코딩오류로 인해 유발되는 보안약점이다. 2. 부적절한 자원 해제 가. 개요 프로그램의 자원, 예를 들면 열린 파일디스크립터(Open File Descriptor), 힙 메모리..

소스코드 보안약점 진단 - Null Pointer 역참조

소스코드 보안약점 진단 // 소프트웨어 보안약점 진단 // SW 보안약점 진단과 같이 다양한 이름으로 불리는 진단 과업 중 하나이다. SW개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW개발단계에서 사전에 제거하고 SW 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발·운영하기 위한 목적으로 적용하는 개발체계이다. 해당 내용은 KISA에서 발간하는 취약점 진단 가이드 항목을 기준으로 작성한다. 제 5절 코드오류 타입 변환 오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범할 수 있는 코딩오류로 인해 유발되는 보안약점이다. 1. Null Pointer 역참조 가. 개요 널 포인터(Null Pointer) 역참조는 ‘일반적으로 그 객체가 널(Null)이 될 ..

소스코드 보안약점 진단 - 부적절한 예외 처리

소스코드 보안약점 진단 // 소프트웨어 보안약점 진단 // SW 보안약점 진단과 같이 다양한 이름으로 불리는 진단 과업 중 하나이다. SW개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW개발단계에서 사전에 제거하고 SW 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발·운영하기 위한 목적으로 적용하는 개발체계이다. 해당 내용은 KISA에서 발간하는 취약점 진단 가이드 항목을 기준으로 작성한다. 제 4절 에러처리 에러를 처리하지 않거나, 불충분하게 처리하여 에러 정보에 중요정보(시스템 내부정보 등)가 포함될 때, 발생할 수 있는 취약점으로 에러를 부적절하게 처리하여 발생하는 보안약점이다. 1. 적절한 인증 없는 중요기능 허용 가. 개요 프로그램 수행 중에 함수의 결과값..

소스코드 보안약점 진단 - 오류 상황 대응 부재

소스코드 보안약점 진단 // 소프트웨어 보안약점 진단 // SW 보안약점 진단과 같이 다양한 이름으로 불리는 진단 과업 중 하나이다. SW개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW개발단계에서 사전에 제거하고 SW 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발·운영하기 위한 목적으로 적용하는 개발체계이다. 해당 내용은 KISA에서 발간하는 취약점 진단 가이드 항목을 기준으로 작성한다. 제 4절 에러처리 오류가 발생할 수 있는 부분을 확인하였으나, 이러한 오류에 대하여 예외 처리를 하지 않을 경우, 공 격자는 오류 상황을 악용하여 개발자가 의도하지 않은 방향으로 프로그램이 동작하도록 할 수 있다. 1. 적절한 인증 없는 중요기능 허용 가. 개요 적절한 인증과정..

소스코드 보안약점 진단 - 오류 메시지를 통한 정보노출

소스코드 보안약점 진단 // 소프트웨어 보안약점 진단 // SW 보안약점 진단과 같이 다양한 이름으로 불리는 진단 과업 중 하나이다. SW개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW개발단계에서 사전에 제거하고 SW 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발·운영하기 위한 목적으로 적용하는 개발체계이다. 해당 내용은 KISA에서 발간하는 취약점 진단 가이드 항목을 기준으로 작성한다. 제 4절 보안기능 에러를 처리하지 않거나, 불충분하게 처리하여 에러 정보에 중요정보(시스템 내부정보 등)가 포함될 때, 발생할 수 있는 취약점으로 에러를 부적절하게 처리하여 발생하는 보안약점이다. 1. 오류 메시지를 통한 정보노출 가. 개요 응용프로그램이 실행환경, 사용자 등 ..

소스코드 보안약점 진단 - 종료되지 않는 반복문 또는 재귀함수

소스코드 보안약점 진단 // 소프트웨어 보안약점 진단 // SW 보안약점 진단과 같이 다양한 이름으로 불리는 진단 과업 중 하나이다. SW개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW개발단계에서 사전에 제거하고 SW 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발·운영하기 위한 목적으로 적용하는 개발체계이다. 해당 내용은 KISA에서 발간하는 취약점 진단 가이드 항목을 기준으로 작성한다. 제 3절 보안기능 동시 또는 거의 동시 수행을 지원하는 병렬 시스템이나 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리하여 발생할 수 있는 보안약점이다. 2. 종료되지 않는 반복문 또는 재귀함수 가. 개요 재귀의 순환횟수를 제어하지 못하여 할당된 메모리..

소스코드 보안약점 진단 - 경쟁조건: 검사 시점과 사용 시점(TOCTOU)

소스코드 보안약점 진단 // 소프트웨어 보안약점 진단 // SW 보안약점 진단과 같이 다양한 이름으로 불리는 진단 과업 중 하나이다. SW개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW개발단계에서 사전에 제거하고 SW 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발·운영하기 위한 목적으로 적용하는 개발체계이다. 해당 내용은 KISA에서 발간하는 취약점 진단 가이드 항목을 기준으로 작성한다. 제 3절 시간 및 상태 동시 또는 거의 동시 수행을 지원하는 병렬 시스템이나 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리하여 발생할 수 있는 보안약점이다. 1. 경쟁조건: 검사 시점과 사용 시점(TOCTOU) 가. 개요 병렬시스템(멀티프로세스로 구현..

소스코드 보안약점 진단 - 반복된 인증시도 제한 기능 부재

소스코드 보안약점 진단 // 소프트웨어 보안약점 진단 // SW 보안약점 진단과 같이 다양한 이름으로 불리는 진단 과업 중 하나이다. SW개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW개발단계에서 사전에 제거하고 SW 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발·운영하기 위한 목적으로 적용하는 개발체계이다. 해당 내용은 KISA에서 발간하는 취약점 진단 가이드 항목을 기준으로 작성한다. 제2절 보안기능 보안기능(인증, 접근제어, 기밀성, 암호화, 권한관리 등)을 부적절하게 구현시 발생할 수 있는 보안 약점으로 적절한 인증 없는 중요기능 허용, 부적절한 인가 등이 포함된다. 16. 반복된 인증시도 제한 기능 부재 가. 개요 일정 시간 내에 여러 번의 인증을 시도..

소스코드 보안약점 진단 - 무결성 검사 없는 코드 다운로드

소스코드 보안약점 진단 // 소프트웨어 보안약점 진단 // SW 보안약점 진단과 같이 다양한 이름으로 불리는 진단 과업 중 하나이다. SW개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW개발단계에서 사전에 제거하고 SW 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발·운영하기 위한 목적으로 적용하는 개발체계이다. 해당 내용은 KISA에서 발간하는 취약점 진단 가이드 항목을 기준으로 작성한다. 제2절 보안기능 보안기능(인증, 접근제어, 기밀성, 암호화, 권한관리 등)을 부적절하게 구현시 발생할 수 있는 보안 약점으로 적절한 인증 없는 중요기능 허용, 부적절한 인가 등이 포함된다. 15. 무결성 검사 없는 코드 다운로드 가. 개요 원격으로부터 소스코드 또는 실행파일을 ..

소스코드 보안약점 진단 - 솔트 없이 일방향 해시함수 사용

소스코드 보안약점 진단 // 소프트웨어 보안약점 진단 // SW 보안약점 진단과 같이 다양한 이름으로 불리는 진단 과업 중 하나이다. SW개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW개발단계에서 사전에 제거하고 SW 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발·운영하기 위한 목적으로 적용하는 개발체계이다. 해당 내용은 KISA에서 발간하는 취약점 진단 가이드 항목을 기준으로 작성한다. 제2절 보안기능 보안기능(인증, 접근제어, 기밀성, 암호화, 권한관리 등)을 부적절하게 구현시 발생할 수 있는 보안 약점으로 적절한 인증 없는 중요기능 허용, 부적절한 인가 등이 포함된다. 14. 솔트 없이 일방향 해시함수 사용 가. 개요 패스워드를 저장시 일방향 해시함수의 성..