습관제작소

9. 정보 누출 점검내용 웹 서비스 시 불필요한 정보가 노출되는지 여부 점검 점검목적 웹 서비스 시 불필요한 정보가 노출되는 것을 방지함으로써 2차 공격에 활용될 수 있는 정보 노출을 차단하기 위함 보안위협 웹 사이트에 중요정보(개인정보, 계정정보, 금융정보 등)가 노출되거나 에러 발생 시 과도한 정보(애플리케이션 정보 DB 정보, 웹 서버구성 정보, 개발 과정의 코멘트 등)가 노출될 경우 공격자들의 2차 공격을 위한 정보로 활용될 수 있음 판단기준 양호 : 웹 사이트에 중요정보가 노출되지 않고, 에러 발생 시 과도한 정보가 노출되지 않는 겨우 취약 : 웹 사이트에 중요정보가 노출되거나, 에러 발생 시 과도한 정보가 노출되는 경우 조치방법 웹 사이트에 노출되는 중요저ㅗㅇ보는 마스킹을 적용하여야 하며, 발..

5. SQL 인젝션 (상) 점검내용 웹페이지 내 SQL 인젝션 취약점 존재 여부 점검 점검목적 대화형 웹 사이트에 비정상적인 사용자 입력 값 허용을 차단하여 악의적인 데이터베이스 접근 및 조작을 방지하기 위함 보안위협 해당 취약점이 존재하는 경우 비정상적인 SQL 쿼리로 DBMS 및 데이터를 열람하거나 조작 가능하므로 사용자의 입력 값에 대한 필터링을 구현하여야 함 판단기준 양호 : 임의로 작성성된 SQL 쿼리 입력에 대한 검증이 이루어지는 경우 취약 : 임의로 작성된 SQL 쿼리 입력에 대한 검증이 이루어지지 않는 경우 조치방법 소스코드에 SQL 쿼리를 입력 값으로 받는 함수나 코드를 사용할 경우, 임의의 SQL 쿼리 입력에 대한 검증 로직을 구현하여 서버에 검증되지 않는 SQL 쿼리 요청 시 에러 페..

1. 버퍼 오버 플로우 (상) 점검내용 사용자가 입력한 파라미터 값의 문자열 같이 제한 확인 점검 목적 웹 사이트에서 사용자가 입력한파라미터 값의 문자열 길이 제한 여부를 점검하여 비정상적 오류 발생을 차단하기 위함 보안 위협 웹 사이트에서 사용자가 입력한 파라미터 값의 문자열 길이를 제한하지 않는 경우 개발 시에 할당된 저장 공간보다 더 큰 값의 입력이 가능하고 이로 인한 오류 발생 시 의도되지 않는 정보 노출, 프로그램에 대한 비인가 접근 및 사용 등이 발생할 수 있음 판단기준 양호 : 파라미터 값에 다량의 다양한 포맷 문자열 입력 시 에러 페이지나 오류가 발생하지 않는 경우 취약 : 파라미터 값에 대한 검증 미흡으로 에러 페이지나 오류가 발생하는 경우 조치방법 파라미터 갑을 외부에서 입력받아 사용하..