193. 입력 데이터 검증 및 표현(A)

입력 데이터 검증 및 표현의 보안 약점

• SQL 삽입
  • 웹 응용 프로그램에 SQL을 삽입하여 내부 데이터베이스 서버의 데이터 유출 변조, 관리자 인증 우회
  • 동적 쿼리에 사용되는 입력 데이터에 예약어 및 특수문자를 입력되지 않게 함으로 방지
• 경로 조작 및 삽입
  • 데이터 입출력 경로 조작하여 서버 자원 수정 및 삭제
  • 경로 순회 공격을 막는 필터 사용으로 방지
• 크로스사이트 스크립팅(XSS)
  • 웹 페이지에 악의적인 스크립트 삽입, 방문자의 정보 탈취
  • HTML 태그 제한, 특수 문자를 다른 문자로 치환함으로 방지
• 운영체제 명령어 삽입
  • 외부 입력값을 통해 시스템 명령어의 실행을 유도함으로써 권한 탈취, 시스템 장애를 유발하는 보안 약점
  • 시스템 명령 전달 X, 외부 입력값 검증 없이 내부 명령어 사용하지 않음으로 방지
• 위험한 형식 파일 업로드
• 신뢰되지 않는 URL 주소로 자동접속 연결 :
  • 입력 값으로 사이트 주소를 받는 경우 조작하여 방문자를 피싱 사이트로 유도
  • 연결되는 외부 사이트 주소를 화이트 리스트로 관리함으로 방지
• 메모리 버퍼 오버플로
  • 메모리 범위를 넘어선 위치에서 자료를 읽거나 쓸때 발생하는 보안 약점
  • 적절한 버퍼 크기 설정으로 방지