티스토리 뷰
가. 취약점 개요
- 민감 데이터를 평문으로 송/수신하여 스니핑을 통해 정보가 노출되는 취약점
→ 중요정보 평문전송
나. 요구사항
1. 민감정보 전송 시 안전하게 암호화해서 전송
2. 쿠키에 포함된 중요정보는 암호화해서 전송
다. 요구사항 별 고려사항
1. 민감정보 전송 시 안전하게 암호화해서 전송
- 중요정보를 안전한 암호모듈로 암호화 후 전송하거나 안전한 통신채널을 이용하여 전송
- "암호연산" 여구항목을 충족하는 암호화 알고리즘 및 암호키를 사용
- 클라이언트와 서버 사이에 불필요한 데이터가 포함되어 전송되지 않도록 설계
2. 쿠키에 포함된 중요정보는 암호화해서 전송
- 쿠키에 중요정보가 포함되지 않도록 설계
- 부득이하게 포함되어야 할 경우, 반드시 세션쿠키로 설정
- 쿠키로 전달되는 중요정보는 반드시 암호화해서 전송
라. 요구사항 별 진단기준 및 방법
0. 공통내용
- 요구사항 정의서에 보안요구항목에 대한 대책이 수립
- 아키텍쳐 설계서에 보안요구항목 적용계획이 수립
- 요구사항 추적표를 통해 요구사항 추적가능 여부
- 암호화해야 하는 중요정보가 분류되었는지 확인
- 암호화 정책(TLSv2, VPN 등)이 적용된 암호화 통신구간 사용하도록 설계되었는지 확인
- 안전한 암호 알고리즘을 사용하여 암호화 후 전송하도록 설계뙤었는지 확인
마. 진단기준
1. 민감정보 전송 시 안전하게 암호화해서 전송
- 민감한 정보를 전송할 때 안전하게 암호화해서 전송되도록 설계되었는지 확인
- 네트워크를 통해 전송되는 중요정보의 암호화 여부를 점검하는 테스트 계획 획인
2. 쿠키에 포함된 중요정보는 암호화해서 전송
- 쿠키에 포함되는 중요정보는 암호화되어 전송되도록 설계되었는지 확인
- 쿠키에 포함된 중요정보에 암호화가 적용되었는지 점검하는 테스트 계획 확인
바. 안전한 보안설계 예
| No | 요구사항 명 | 해결방안 | 검수기준 | |
| 1 | 민감정보 암호화 전송 | 민감한 정보를 식별하고, 전송 시 암호화해서 전송한다. | 민감한 정보를 암호화해서 전송하고 있다. | |
| 2 | 쿠키 중요정보 암호화 전송 | 쿠키를 통해 중요정보를 전달하는 경우, 해당 정보를 암호화해서 전송한다. | 쿠키에 포함된 중요정보를 암호화 하고 있다. | |
'Web Analytics > SW 보안약점 진단원' 카테고리의 다른 글
| [설계보안] 세션통제 01 - 세션통제 (0) | 2019.09.29 |
|---|---|
| [설계보안] 에러처리 01 - 예외처리 (0) | 2019.09.29 |
| [설계보안] 보안기능 07 - 중요정보 저장 (0) | 2019.09.29 |
| [설계보안] 보안기능 06 - 암호연산 (0) | 2019.09.29 |
| [설계보안] 보안기능 05 - 암호키 관리 (0) | 2019.09.29 |
- Total
- Today
- Yesterday