[정보보호론] 구현 보안약점과 분석.설계 보안기준 관계

 

구분	분석 / 설계단계 보안요구	구현단계 보안약점
입력 데이터 검증 및 표현	DBMS 조회 및 결과 검증	- SQL 삽입
	XML 조회 및 결과 검증	- XQuery 삽입 - XPath 삽입
	디렉터리 서비스 조회 및 결과 검증	- LDAP 삽입
	시스템 자원 접근 및 명령어 수행 입력값 검증	- 경로조작 및 자원삽입 - 운영체제 명령어 삽입
	웹 서비스 요청 및 결과 검증	- XSS(크로스 사이트 스크립트)
	웹 기반 중요기능 수행 요청 유효성 검증	- XSRF(크로스 사이트 요청 위조)
	HTTP 프로토콜 유효성 검증	- 신로리되지 않은 URL 주소로 자동접속 연결 - HTTP 응답분할
	허용된 범위내 메모리 접근	- 포멧스트링 삽입 - 메모리 버퍼 오버플로우
	보안기능 동작에 사용되는 입력값 검증	- Null Pointer 역참조 - 정수형 오버플로우 - 보안기능 결정에 사용되는 부적절 입력값
	업로드 및 다운로드 파일검증	- 위험 형식 파일 업로드 - 무결성 검사 없는 코드 다운로드
보안 기능	인증대상 및 방식	- 적절한 인증 없는 중요기능 허용 - DNS lookup에 의존한 보안결정
	인증수행 제한	- 반복된 인증시도 제한기능 부재
	비밀번호 관리	- 하드코드된 비밀번호 - 취약한 비밀번호 허용
	중요자원 접근통제	- 부적절 인가 - 중요 자원에 대한 잘못된 권한 설정
	암호키 관리	- 하드코드 암호화 - 주석문 안 시스템 주요 정보
	암호연산	- 취약한 암호화 알고리즘 - 충분하지 않은 키 길이 - 부적절한 난수 값 - 솔트 없는 일방향 해쉬함수 사용
	중요정보 전송	- 중요정보 평문전송
에러처리	예외처리	- 오류메시지를 통한 정보노출 - 시스템 데이터 정보노출
세션통제	세션통제	- 잘못된 세션에 의한 데이터 정보노출

 

 

출처 : 전자행정안전부·한국인터넷진흥원의 『전자정부 SW 개발·운영자를 위한 소프트웨어 개발보안 가이드(2019년 11월)