티스토리 뷰
반응형
가. 원인
- 중요정보를 취약한 암호 알고리즘을 사용하여 암/복호화 처리
- BASE64와 같은 지나치게 간단한 인코딩으로 암/복호화
나. 영향
- 중요정보가 복호화 되어 노출
다. 보안대책
- 자체 개발한 암호화 알고리즘은 사용하지 않음
- 이미 검증된 표준화 된 암호화 알고리즘을 사용
- 3DES, AES, RSA, SHA2 등의 안전한 암호화 알고리즘을 사용
라. 안전한 코드
1. 안전한 암호화 알고리즘 사용
|
public byte[] encrypt( byte[] msg, Key key ) { byte[] result = null; try { Cipher c = Cipher.getInstance( "AES/CBC/PKCS5Padding" ); c.init( Cipher.ENCRYPT_MODE, k ); result = c.update(msg); } catch (Exception e ) { ... } }
|
마. 진단방법
<안전한 암호화 알고리즘 사용 확인>
1. 취약한 암호화 알고리즘 사용여부 확인
2. 안전한 암호화 알고리즘 사용여부 확인
바. 정/오탐 케이스
<정탐 케이스>
1. BASE64 인코딩으로 중요정보를 처리하고 있을 경우
2. MD5 등 낮은 보안수준의 알고리즘을 사용하고 있는 경우
반응형
'Web Analytics > SW 보안약점 진단원' 카테고리의 다른 글
| [구현보안] 보안기능 06 - 중요정보 평문전송 (0) | 2019.10.06 |
|---|---|
| [구현보안] 보안기능 05 - 중요정보 평문저장 (0) | 2019.10.06 |
| [구현보안] 보안기능 03 - 중요한 자원에 대한 잘못된 권한 설정 (0) | 2019.10.04 |
| [구현보안] 보안기능 02 - 부적절한 인가 (0) | 2019.10.04 |
| [구현보안] 보안기능 01 - 적절한 인증없는 중요기능 허용 (0) | 2019.10.04 |
댓글
반응형
최근에 올라온 글
- Total
- Today
- Yesterday