728x90
입력 데이터 검증 및 표현의 보안 약점
- SQL 삽입
- 웹 응용 프로그램에 SQL을 삽입하여 내부 데이터베이스 서버의 데이터 유출 변조, 관리자 인증 우회
- 동적 쿼리에 사용되는 입력 데이터에 예약어 및 특수문자를 입력되지 않게 함으로 방지
- 경로 조작 및 삽입
- 데이터 입출력 경로 조작하여 서버 자원 수정 및 삭제
- 경로 순회 공격을 막는 필터 사용으로 방지
- 크로스사이트 스크립팅(XSS)
- 웹 페이지에 악의적인 스크립트 삽입, 방문자의 정보 탈취
- HTML 태그 제한, 특수 문자를 다른 문자로 치환함으로 방지
- 운영체제 명령어 삽입
- 외부 입력값을 통해 시스템 명령어의 실행을 유도함으로써 권한 탈취, 시스템 장애를 유발하는 보안 약점
- 시스템 명령 전달 X, 외부 입력값 검증 없이 내부 명령어 사용하지 않음으로 방지
- 위험한 형식 파일 업로드
- 신뢰되지 않는 URL 주소로 자동접속 연결 :
- 입력 값으로 사이트 주소를 받는 경우 조작하여 방문자를 피싱 사이트로 유도
- 연결되는 외부 사이트 주소를 화이트 리스트로 관리함으로 방지
- 메모리 버퍼 오버플로
- 메모리 범위를 넘어선 위치에서 자료를 읽거나 쓸때 발생하는 보안 약점
- 적절한 버퍼 크기 설정으로 방지
'자격증 > 정보처리기사' 카테고리의 다른 글
201. 서비스 공격 유형(A) (0) | 2023.02.08 |
---|---|
197~198. 코드 오류(B), 캡슐화(B) (0) | 2023.02.08 |
191. Secure SDLC(A) (0) | 2023.02.08 |
188~189. 회복/병행제어(A), 교착상태(B) (0) | 2023.02.08 |
187. DB 관련 신기술(A) (0) | 2023.02.07 |