티스토리 뷰
반응형
가. 취약점 개요
- 입력값 조작을 통해 XQuery나 XPath의 쿼리문 구조를 변경하여 허가받지 않은 데이터를 조회하거나 인증절차를 우회하는 취약점
→ XQuery 삽입
→ XPath 삽입
나. 요구사항
1. XML쿼리에 사용되는 파라미터는 반드시 필터링하여 사용하거나 자료형에 따라 바인딩해서 사용
다. 요구사항 별 고려사항
1. XML쿼리에 사용되는 파라미터는 반드시 필터링하여 사용하거나 자료형에 따라 바인딩해서 사용
- Validator 컴포넌트를 통해 입력값 검증작업이 일괄적용되도록 설계
- 필터를 통해 특수기호 ( ", [, ], /, =, @ ) 필터링하도록 설계
- 각각의 컴포넌트에서 특수기호 ( ", [, ], /, =, @ ) 필터링하도록 설계
라. 요구사항 별 진단기준 및 방법
0. 공통내용
- 요구사항 정의서에 보안요구항목에 대한 대책이 수립
- 아키텍쳐 설계서에 보안요구항목 적용계획이 수립
- 요구사항 추적표를 통해 요구사항 추적가능 여부
1. XML쿼리에 사용되는 파라미터는 반드시 필터링하여 사용하거나 자료형에 따라 바인딩해서 사용
- 외부입력값을 안전하게 필터링하는 기능이 설계
- XML 필터링 ( ", [, ], /, =, @ )
마. 진단기준
1. XML쿼리에 사용되는 파라미터는 반드시 필터링하여 사용하거나 자료형에 따라 바인딩해서 사용
- 외부 입력값이 조회구문을 변경하지 않도록 보안설계 되어 있는지 확인
- XML삽입 취약점을 점검할 수 있는 테스트 계획 확인
바. 안전한 보안설계 예
| No | 요구사항 명 | 해결방안 | 검수기준 | |
| 1 | XML 조회 입력값 및 결과 검증 | XQuery 표현식을 이용하여 파라미터화 된 쿼리가 실행될 수 있도록 한다. | XPath 및 XQuery 삽입 공격을 방어 | |
반응형
'Web Analytics > SW 보안약점 진단원' 카테고리의 다른 글
| [설계보안] 입력데이터 검증 및 표현 06 - 웹 기반 중요기능 수행요청 유효성 검증 (0) | 2019.09.22 |
|---|---|
| [설계보안] 입력데이터 검증 및 표현 05 - 웹 서비스 요청 및 결과 검증 (0) | 2019.09.22 |
| [설계보안] 입력데이터 검증 및 표현 04 - 시스템 자원 접근 및 명령어 수행 입력값 검증 (0) | 2019.09.19 |
| [설계보안] 입력데이터 검증 및 표현 03 - 디렉터리 서비스 조회 및 결과 검증 (0) | 2019.09.18 |
| [설계보안] 입력데이터 검증 및 표현 01 - DBMS 조회 및 결과 검증 (0) | 2019.09.17 |
댓글
반응형
최근에 올라온 글
- Total
- Today
- Yesterday