목록자격/SW보안약점진단원 (73)

IgnatiusHeo

구현단계 보안약점 제거 기준-메모리 버퍼 오버플로우

작성일: 230704 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(303~308p) 구분 - 입력데이터 검증 및 표현 설계단계 - 허용된 범위내 메모리 접근 https://cryptocurrencyclub.tistory.com/96 개요 메모리 버퍼 오버플로우 보안약점은 연속된 메모리 공간을 사용하는 프로그램에서 할당된 메모리의 범위를 넘어선 위치에 자료를 읽거나 쓰려고 할 때 발생한다. 메모리 버퍼 오버플로우는 프로그램의 오동작을 유발시키거나, 악의적인 코드를 실행시킴으로써 공격자 프로그램을 통제할 수 있는 권한을 획득하게 한다. 메모리 버퍼 오버플로우에는 스택 메..
자격/SW보안약점진단원 2023. 7. 4. 18:41
구현단계 보안약점 제거 기준-보안기능 결정에 사용되는 부적절한 입력값

작성일: 230704 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(297~302p) 구분 - 입력데이터 검증 및 표현 설계단계 - 보안기능 입력값 검증 https://cryptocurrencyclub.tistory.com/97 개요 응용프로그램이 외부입력값에 대한 신뢰를 전제로 보호메커니즘을 사용하는 경우 공격자가 입력값을 조작할 수 있다면 보호메커니즘을 우회할 수 있게 된다. 개발자들이 흔히 쿠키, 환경변수 또는 히든필드와 같은 입력값이 조작될 수 없다고 가정하지만 공격자는 다양한 방법으로 이러한 입력값들을 변경할 수 있고 조작된 내용은 탐지되지 않을 수 있다. 인..
자격/SW보안약점진단원 2023. 7. 4. 06:04
구현단계 보안약점 제거 기준-정수형 오버플로우

작성일: 230704 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(290~296p) 구분 - 입력데이터 검증 및 표현 설계단계 - 보안기능 입력값 검증 https://cryptocurrencyclub.tistory.com/97 개요 정수형 오버플로우는 정수값이 증가하면서 허용된 가장 큰 값보다 커져서 실제 저장되는 값이 의도치않게 아주 작은 수이거나 음수가 되어 발생한다. 특히 반복문 제어, 메모리 할당, 메모리 복사 등을 위한 조건으로 사용자가 제공하는 입력값을 사용하고 그 과정에서 정수형 오버플로우가 발생하는 경우 보안상 문제를 유발할 수 있다. 진단 세부사항 (..
자격/SW보안약점진단원 2023. 7. 4. 05:48
구현단계 보안약점 제거 기준-HTTP 응답분할

작성일: 230704 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(284~289p) 구분 - 입력데이터 검증 및 표현 설계단계 - HTTP 프로토콜 유효성 검증 https://cryptocurrencyclub.tistory.com/95 개요 HTTP 요청에 들어 있는 파라미터(Parameter)가 HTTP 응답헤더에 포함되어 사용자에게 다시 전달될 때, 입력값에 CR(Carriage Return)이나 LF(Line Feed)와 같은 개행문자가 존재하면 HTTP응답이 2개 이상으로 분리될 수 있다. 이 경우 공격자는 개행문자를 이용하여 첫 번째 응답을 종료시키고, 두 ..
자격/SW보안약점진단원 2023. 7. 4. 05:34
구현단계 보안약점 제거 기준-서버사이드 요청 위조

작성일: 230704 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(276~283p) 구분 - 입력데이터 검증 및 표현 설계단계 - 시스템 자원 접근 및 명령어 수행 입력값 검증 https://cryptocurrencyclub.tistory.com/92 개요 적절한 검증절차를 거치지 않은 사용자 입력 값을 서버간의 요청에 사용하여 악의적인 행위가 발생할 수 있는 보안약점이다. 외부에 노출된 웹 서버에 취약한 애플리케이션이 존재하는 경우 공격자는 URL 또는 요청문을 위조하여 접근통제를 우회하는 방식으로 비정상적인 동작을 유도하거나 신뢰된 네트워크에 있는 데이터를 획득할..
자격/SW보안약점진단원 2023. 7. 4. 05:19
구현단계 보안약점 제거 기준-크로스사이트 요청 위조

작성일: 230704 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(272~275p) 구분 - 입력데이터 검증 및 표현 설계단계 - 웹 기반 중요 기능 수행 요청 유효성 검증 https://cryptocurrencyclub.tistory.com/94 개요 특정 웹사이트에 대해서 사용자가 인지하지 못한 상황에서 사용자의 의도와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 요청하게 하는 공격을 말한다. 웹 응용프로그램이 사용자로부터 받은 요청에 대해서 사용자가 의도한 대로 작성되고 전송된 것인지 확인하지 않는 경우 발생 가능하고 특히 해당 사용자가 관리자인 ..
자격/SW보안약점진단원 2023. 7. 4. 05:09
이전 Prev 1 ··· 4 5 6 7 8 9 10 ··· 13 Next 다음