IT Security

1.4 시스템 자원 접근 및 명령어 수행 입력값 검증

시스템 자원접근 및 명령어를 수행할 때 입력값에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법을 설계해야 한다. [취약점]1. 코드 삽입 (Code Injection)개발자가 작성한 고정된 프로그램 코드 사이에, 해커가 자신이 원하는 프로그래밍 언어 문법(함수나 로직)을 주입해 서버가 이를 실행하게 만드는 약점입니다. 2. 경로 조작 및 자원 삽입 (Path Traversal)사용자가 입력한 파일 이름을 어떠한 필터링도 없이 서버 내부의 파일 경로(Path)를 지정하는 데 사용하여, 접근 권한이 없는 시스템 비밀 파일에 도달하는 약점입니다.3. 서버사이드 요청 위조 (SSRF)공격자가 웹 서버에게 악의적인 주소(URL)를 요청하도록 유도하여, 외부에 노출되지 않은 기업 내부망의 다른 시..

1.3 디렉토리 서비스 조회 및 결과 검증

디렉토리 서비스(LDAP 등)를 조회할 때 입력값과 그 조회결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법을 설계한다. [취약점]1. LDAP 삽입 공격 [보안대책]① 입력값 검증 및 특수문자 차단/치환 사용자가 로그인 창이나 검색창에 LDAP 구조를 망가뜨릴 수 있는 특수문자들을 입력하면, 이를 거르거나 안전한 문자로 바꾸어 주어야 합니다. LDAP 공격에 주로 쓰이는 특수문자는 다음과 같습니다.= , + , , # , ; , \ 등 제거하거나 안전하게 대체하여 사용이 문자들을 안전하게 에스케이프(Escape) 처리(예: ( ➔ \28, ) ➔ \29) 하도록 시큐어코딩 규칙을 정의해야 합니다.② 안전한 API 사용 (파라미터화 조회)문자열을 직접 더하지 않고, 입력값을 쿼리의..