티스토리 뷰
반응형
가. 취약점 개요
- LDAP인증서버에 인증요청에 사용되는 입력값을 검증하지 않아, 쿼리문 구조를 변조하여 공격자가 의도하는 LDAP 조회가 수행되는 취약점
→ LDAP삽입
나. 요구사항
1. 외부입력값에 LDAP삽입 취약점이 없도록 필터링해서 사용
다. 요구사항 별 고려사항
1. 외부입력값에 LDAP삽입 취약점이 없도록 필터링해서 사용
- LDAP 조회로 인식 가능한 특수문자 ( =, +, <, >, #, ;, \ 등 ) 필터링
라. 요구사항 별 진단기준 및 방법
0. 공통내용
- 요구사항 정의서에 보안요구항목에 대한 대책이 수립
- 아키텍쳐 설계서에 보안요구항목 적용계획이 수립
- 요구사항 추적표를 통해 요구사항 추적가능 여부
1. 외부입력값에 LDAP삽입 취약점이 없도록 필터링해서 사용
- 입력값에 필터링 기능 설계
- 안전한 외부라이브러리 사용하도록 설계
- 특수문자 입력값 ( =, +, <, >, #, ;, \ 등 ) 필터링 테스트
마. 진단기준
1. 외부입력값에 LDAP삽입 취약점이 없도록 필터링해서 사용
- 외부 입력값이 LDAP 조회를 위한 필터조건에 삽입되어 사용될 경우, LDAP 삽입 취약점이 발생되지 않도록 보안설계 되어있는지 확인
- LDAP 삽입 취약점을 점검할 수 있는 테스트 계획 확인
바. 안전한 보안설계 예
| No | 요구사항 명 | 해결방안 | 검수기준 | |
| 1 | LDAP 인증 시 입력값 검증 | 인증서를 통해 인증을 구현한다 (????) | LDAP 필터 규칙으로 인식가능한 특수문자를 제거하는 기능을 공통모듈로 개발하여 개발자가 구현에 사용할 수 있도록 한다. | |
반응형
'Web Analytics > SW 보안약점 진단원' 카테고리의 다른 글
| [설계보안] 입력데이터 검증 및 표현 06 - 웹 기반 중요기능 수행요청 유효성 검증 (0) | 2019.09.22 |
|---|---|
| [설계보안] 입력데이터 검증 및 표현 05 - 웹 서비스 요청 및 결과 검증 (0) | 2019.09.22 |
| [설계보안] 입력데이터 검증 및 표현 04 - 시스템 자원 접근 및 명령어 수행 입력값 검증 (0) | 2019.09.19 |
| [설계보안] 입력데이터 검증 및 표현 02 - XML 조회 및 결과 검증 (0) | 2019.09.18 |
| [설계보안] 입력데이터 검증 및 표현 01 - DBMS 조회 및 결과 검증 (0) | 2019.09.17 |
댓글
반응형
최근에 올라온 글
- Total
- Today
- Yesterday