1. SW 개발 보안의 구성 요소 : 기밀성, 무결성, 가용성
- 기밀성 : 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성
- 무결성 : 정당한 방법을 따르지 않고서 데이터가 변경될 수 없으며, 데이터의 정확성 및 완전성과 고의/악의로 변경하거나 훼손 또는 파괴되지 않음을 보장하는 특성
- 가용성 : 권한을 가진 사용자나 앱이 원하는 서비스를 지속 사용할 수 있도록 보장하는 특성
2. 입력 데이터 검증 및 표현 취약점
XSS (Cross Site Script) : 검증되지 않은 외부 데이터가 포함된 웹페이지가 전송되는 경우, 사용자가 해당 웹페이지를 열람함으로써 웹페이지에 포함된 부적절한 스크립트가 실행되는 공격
사이트간 요청 위조 (CSRF) : 사용자가 자신의 의자와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격
SQL 삽입 (Injection) : 응용 프로그램의 보안 취약점을 이용해서 악의적인 SQL 구문을 삽입, 실행시켜서 DB의 접근을 통해 정보를 탈취하거나 조작 등의 행위를 하는 공격 기법
3. 보안 기능 취약점
a. 적절한 인증없이 중요 기능 허용 : 보안 검사를 우회하여 인증과정 없이 중요 정보 또는 기능에 접근 및 변경 가능
b. 부적절한 인가 : 접근 제어 기능이 없는 실행경로를 통해 정보 또는 권한 탈취
c. 취약한 암호화 알고리즘 사용 : 암호화된 환경설정 파일을 해독하여 비밀번호 등의 중요정보 탈취
d. 중요 정보 평문 저장 및 전송 : 암호화되지 않은 평문 데이터를 탈취하여 중요 정보 획득 가능
e. 하드 코드 된 비밀번호 : 프로그램 코드 내부에 패스워드 포함 시 관리자 정보가 노출될 수 있는 보안 취약점
4. 에러 처리 취약점
a. 취약한 패스워드 요구 조건 : 취약한 사용자 패스워드 조합 규칙에 따른 사용자 계정 보안 취약점
b. 오류 메세지 통한 정보 노출 : 프로그램이 실행환경, 사용자, 관련 데이터에 대한 민감한 정보를 포함하는 오류 메세지를 생성하여 공격자의 악성행위를 도와주는 보안 취약점
c. 오류 상황 대응 부재 : 오류가 발생할 수 있는 부분을 확인하였으나, 이러한 오류에 대하여 예외 처리를 하지 않았거나 미비로 인해 발생하는 보안 약점
d. 적절하지 않은 예외 처리 : 프로그램 수행 중에 함수의 결과값에 대해 적절한 처리 또는 예외상황에 대한 조건을 적절하게 검사하지 않을 경우, 예기치 않은 문제를 일으킬 수 있는 보안 약점
5. 세션 통제 취약점 : 불충분한 세션 관리
- 인증 시 일정한 규칙이 존재하는 세션 ID를 발급
- 세션 타임아웃을 길게 설정한 경우 공격자에 의해 사용자 원한이 도용
'Computer Science > 정보처리기사' 카테고리의 다른 글
| [정보처리기사] 오답노트 (0) | 2022.02.14 |
|---|---|
| 5 (3) 암호알고리즘 / 코드오류 / 캡슐화 / API 오용 취약점 정리 (0) | 2022.02.10 |
| 빅데이터 기술의 종류, NoSQL 개념 (0) | 2022.02.02 |
| 5(2) 클라우드 컴퓨팅 , 스토리지 시스템 DAS, NAS, SAN (0) | 2022.02.02 |
| 인공지능, 머신러닝, 딥러닝 구분 (0) | 2022.01.30 |
1. SW 개발 보안의 구성 요소 : 기밀성, 무결성, 가용성
- 기밀성 : 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성
- 무결성 : 정당한 방법을 따르지 않고서 데이터가 변경될 수 없으며, 데이터의 정확성 및 완전성과 고의/악의로 변경하거나 훼손 또는 파괴되지 않음을 보장하는 특성
- 가용성 : 권한을 가진 사용자나 앱이 원하는 서비스를 지속 사용할 수 있도록 보장하는 특성
2. 입력 데이터 검증 및 표현 취약점
XSS (Cross Site Script) : 검증되지 않은 외부 데이터가 포함된 웹페이지가 전송되는 경우, 사용자가 해당 웹페이지를 열람함으로써 웹페이지에 포함된 부적절한 스크립트가 실행되는 공격
사이트간 요청 위조 (CSRF) : 사용자가 자신의 의자와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격
SQL 삽입 (Injection) : 응용 프로그램의 보안 취약점을 이용해서 악의적인 SQL 구문을 삽입, 실행시켜서 DB의 접근을 통해 정보를 탈취하거나 조작 등의 행위를 하는 공격 기법
3. 보안 기능 취약점
a. 적절한 인증없이 중요 기능 허용 : 보안 검사를 우회하여 인증과정 없이 중요 정보 또는 기능에 접근 및 변경 가능
b. 부적절한 인가 : 접근 제어 기능이 없는 실행경로를 통해 정보 또는 권한 탈취
c. 취약한 암호화 알고리즘 사용 : 암호화된 환경설정 파일을 해독하여 비밀번호 등의 중요정보 탈취
d. 중요 정보 평문 저장 및 전송 : 암호화되지 않은 평문 데이터를 탈취하여 중요 정보 획득 가능
e. 하드 코드 된 비밀번호 : 프로그램 코드 내부에 패스워드 포함 시 관리자 정보가 노출될 수 있는 보안 취약점
4. 에러 처리 취약점
a. 취약한 패스워드 요구 조건 : 취약한 사용자 패스워드 조합 규칙에 따른 사용자 계정 보안 취약점
b. 오류 메세지 통한 정보 노출 : 프로그램이 실행환경, 사용자, 관련 데이터에 대한 민감한 정보를 포함하는 오류 메세지를 생성하여 공격자의 악성행위를 도와주는 보안 취약점
c. 오류 상황 대응 부재 : 오류가 발생할 수 있는 부분을 확인하였으나, 이러한 오류에 대하여 예외 처리를 하지 않았거나 미비로 인해 발생하는 보안 약점
d. 적절하지 않은 예외 처리 : 프로그램 수행 중에 함수의 결과값에 대해 적절한 처리 또는 예외상황에 대한 조건을 적절하게 검사하지 않을 경우, 예기치 않은 문제를 일으킬 수 있는 보안 약점
5. 세션 통제 취약점 : 불충분한 세션 관리
- 인증 시 일정한 규칙이 존재하는 세션 ID를 발급
- 세션 타임아웃을 길게 설정한 경우 공격자에 의해 사용자 원한이 도용
'Computer Science > 정보처리기사' 카테고리의 다른 글
| [정보처리기사] 오답노트 (0) | 2022.02.14 |
|---|---|
| 5 (3) 암호알고리즘 / 코드오류 / 캡슐화 / API 오용 취약점 정리 (0) | 2022.02.10 |
| 빅데이터 기술의 종류, NoSQL 개념 (0) | 2022.02.02 |
| 5(2) 클라우드 컴퓨팅 , 스토리지 시스템 DAS, NAS, SAN (0) | 2022.02.02 |
| 인공지능, 머신러닝, 딥러닝 구분 (0) | 2022.01.30 |
