보안 약점

입력 데이터 검증 및 표현과 보안 약점

- 잘못된 입력 데이터로 문제 발생을 막기 위한 검증

- 위험한 파일 업로드 : 악의적 명령어 스크립트 파일을 업로드하여 시스템 손상

- 운영체제 명령어 삽입 : 시스템 명령어 실행 유도

- 크로스 사이트 스크립팅 : 악의적 스크립트 삽입하여 정보 탈취

- sql 삽입 : 입력칸에 sql을 삽입하여 무단으로 db 접근

- 경로 조작 및 자원 삽입 : 데이터 입출력 경로 조작하여 시스템 자원 접근 

 

보안 기능과 보안약점

-인증, 접근제어, 암호화 등 구현하기위한 점검항목

- 하드코드된 비밀번호 : 소스 유출시 하드코드 패스워드 이용 가능  -> 비밀번호 암호화하여 별도 저장

- 취약한 암호화 알고리즘 : 암호 해독하여 중요 정보 탈취 ->안전한 암호화 알고리즘 사용

- 인증없이 기능 허용 : 중요 정보나 기능에 접근 -> 인증 구현

- 중요 자원에 잘못된 권한 설정 : 중요한 자원에 접근해 정보나 권한 사용 -> 관리자만 접근가능하도록 설정

- 암호화없이 정보 저장 및 전송 : 평문 데이터를 탈취하여 이용 -> 암호화, HTTPS나 SSL 같은 보안 채널 이용

 

* hard code 하드 코드 : 데이터를 코드 안에서 직접 입력