티스토리 뷰
반응형
가. 취약점 개요
- 세션탈취, XSS 등을 통해 공격자가 의도한 행위를 인증된 사용자의 권한을 통해 실행되는 취약점
→ 크로스사이트 요청위조
나. 요구사항
1. 전송되는 모든 요청에 정상적인 사용자의 유효한 요청인지 판별할 수 있도록 설계
다. 요구사항 별 고려사항
1. 전송되는 모든 요청에 정상적인 사용자의 유효한 요청인지 판별할 수 있도록 설계
- 정상적인 사용자의 정상적인 절차에 의한 요청인지 구분하기 위해 세션별 CSRF 토큰을 생성 및 전달하여 요청의 유효성을 검사
- CAPTCHA 등을 이용하여 사용자와 상호처리 가능한 기법을 통해 위조된 요청을 차단
- 중요기능 처리 시 재인증을 통해 실제 요청여부를 확인
라. 요구사항 별 진단기준 및 방법
0. 공통내용
- 요구사항 정의서에 보안요구항목에 대한 대책이 수립
- 아키텍쳐 설계서에 보안요구항목 적용계획이 수립
- 요구사항 추적표를 통해 요구사항 추적가능 여부
1. 전송되는 모든 요청에 정상적인 사용자의 유효한 요청인지 판별할 수 있도록 설계
- CSRF 토큰을 사용하여 요청 유효성 체크
- CAPTCHA를 이용하여 요청 유효성 체크
- 요청 유효성 점검기능이 안전하게 적용되도록 설계
- 주요기능에 대해 재인증/재인가 처리 적용
마. 진단기준
1. 전송되는 모든 요청에 정상적인 사용자의 유효한 요청인지 판별할 수 있도록 설계
- 중요기능 요청에 대한 요청 유효성을 판단하여 처리할 수 있도록 보안설계 되었는지 확인
- 요청에 대한 유효성 검증기능을 점검하는 테스트 계획 확인
바. 안전한 보안설계 예
| No | 요구사항 명 | 해결방안 | 검수기준 비고 |
|
| 1 | 웹 기반 중요기능 수행요청 유효성 검증 | CAPTCHA를 이용하여 사용자에 의한 정상적인 절차에 따른 요청인지 확인 | 자동화된 요청이 처리되지 않는다. | |
반응형
'Web Analytics > SW 보안약점 진단원' 카테고리의 다른 글
| [설계보안] 입력데이터 검증 및 표현 08 - 허용된 범위내 메모리 접근 (0) | 2019.09.22 |
|---|---|
| [설계보안] 입력데이터 검증 및 표현 07 - HTTP 프로토콜 유효성 검증 (0) | 2019.09.22 |
| [설계보안] 입력데이터 검증 및 표현 05 - 웹 서비스 요청 및 결과 검증 (0) | 2019.09.22 |
| [설계보안] 입력데이터 검증 및 표현 04 - 시스템 자원 접근 및 명령어 수행 입력값 검증 (0) | 2019.09.19 |
| [설계보안] 입력데이터 검증 및 표현 03 - 디렉터리 서비스 조회 및 결과 검증 (0) | 2019.09.18 |
댓글
반응형
최근에 올라온 글
- Total
- Today
- Yesterday