목록SW보안약점 진단원 (72)

IgnatiusHeo

구현단계 보안약점 제거 기준-Null Pointer 역참조

작성일: 230706 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(433~444p) 구분 - 입력데이터 검증 및 표현 설계단계 - 보안기능 입력값 검증 https://cryptocurrencyclub.tistory.com/97 개요 널 포인터(Null Pointer) 역참조는 ‘일반적으로 그 객체가 널(Null)이 될 수 없다’라고 하는 가정을 위반했을 때 발생한다. 공격자가 의도적으로 널 포인터 역참조를 발생시키는 경우, 그 결과 발생하는 예외 상황을 이용하여 추후 공격을 계획하는 데 사용될 수 있다. 진단 세부사항 (설계단계) ① 사용자의 역할, 권한을 결정하는 ..
자격/SW보안약점진단원 2023. 7. 6. 14:40
구현단계 보안약점 제거 기준-부적절한 예외 처리

작성일: 230706 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(429~432p) 구분 - 에러처리 설계단계 개요 프로그램 수행 중에 함수의 결과값에 대한 적절한 처리 또는 예외상황에 대한 조건을 적절하게 검사하지 않을 경우, 예기치 않은 문제를 야기할 수 있다. 진단 세부사항 (설계단계) 보안대책 (구현단계) 값을 반환하는 모든 함수의 결과값을 검사하여, 그 값이 의도했던 값인지 검사하고, 예외 처리를 사용하는 경우에 광범위한 예외 처리 대신 구체적인 예외 처리를 수행한다. 진단방법 (구현단계) 함수 또는 메소드에 대하여 반환값을 검사하고 예외를 발생시키는 경우 ..
자격/SW보안약점진단원 2023. 7. 6. 14:21
구현단계 보안약점 제거 기준-오류상황 대응 부재

작성일: 230706 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(425~428p) 구분 - 에러처리 설계단계 개요 오류가 발생할 수 있는 부분을 확인하였으나, 이러한 오류에 대하여 예외 처리를 하지 않을 경우, 공 격자는 오류 상황을 악용하여 개발자가 의도하지 않은 방향으로 프로그램이 동작하도록 할 수 있다. 진단 세부사항 (설계단계) 보안대책 (구현단계) 오류가 발생할 수 있는 부분에 대하여 제어문을 사용하여 적절하게 예외 처리(C/C++에서 if와 switch, Java에서 try-catch 등)를 한다. 진단방법 (구현단계) 오류가 발생할 수 있는 부분에 대하..
자격/SW보안약점진단원 2023. 7. 6. 14:17
구현단계 보안약점 제거 기준-오류 메시지 정보노출

작성일: 230706 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(419~424p) 구분 - 에러처리 설계단계 - 예외처리 https://cryptocurrencyclub.tistory.com/108 개요 응용프로그램이 실행환경, 사용자 등 관련 데이터에 대한 민감한 정보를 포함하는 오류 메시지를 생성하여 외부에 제공하는 경우, 공격자의 악성 행위를 도울 수 있다. 예외발생시 예외이름이나 스택 트레이스를 출력하는 경우, 프로그램 내부구조를 쉽게 파악할 수 있기 때문이다. 진단 세부사항 (설계단계) ① 명시적인 예외의 경우 예외처리 블럭을 이용하여 예외 발생 시 수행해..
자격/SW보안약점진단원 2023. 7. 6. 14:09
구현단계 보안약점 제거 기준-종료되지 않는 반복문 또는 재귀 함수

작성일: 230706 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(415~418p) 구분 - 시간 및 상태 설계단계 개요 재귀의 순환횟수를 제어하지 못하여 할당된 메모리나 프로그램 스택 등의 자원을 과다하게 사용하면 위험하다. 대부분의 경우, 귀납 조건(Base Case)이 없는 재귀함수는 무한 루프에 빠져 들게 되고 자원고갈을 유발함으로써 시스템의 정상적인 서비스를 제공할 수 없게 한다. 진단 세부사항 (설계단계) 보안대책 (구현단계) 모든 재귀 호출시, 재귀 호출 횟수를 제한하거나, 초기값을 설정(상수)하여 재귀 호출을 제한해야 한다. 진단방법 (구현단계) 자신을..
자격/SW보안약점진단원 2023. 7. 6. 14:05
구현단계 보안약점 제거 기준-경쟁조건: 검사 시점과 사용 시점(TOCTOU)

작성일: 230706 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(406~414p) 구분 - 시간 및 상태 설계단계 개요 병렬시스템(멀티프로세스로 구현한 응용프로그램)에서는 자원(파일, 소켓 등)을 사용하기에 앞서 자원의 상태를 검사한다. 하지만, 자원을 사용하는 시점과 검사하는 시점이 다르기 때문에, 검사하는 시점(Time Of Check)에 존재하던 자원이 사용하던 시점(Time Of Use)에 사라지는 등 자원의 상태가 변하는 경우가 발생한다. 예를 들어, 프로세스 A와 B가 존재하는 병렬시스템 환경에서 프로세스 A는 자원사용(파일 읽기)에 앞서 해당 자원(파일..
자격/SW보안약점진단원 2023. 7. 6. 13:58
이전 Prev 1 2 3 4 5 6 ··· 12 Next 다음