티스토리 뷰
반응형
가. 원인
- 주석문 안에 시스템 중요정보가 작성되어 있는 경우
- 개발과정에서 개발편의상 중요정보를 포함하여 작성한 주석을 삭제하지 않은 경우
나. 영향
- 바이너리 파일의 디컴파일을 통해 중요정보가 유출
- 유출된 정보를 기반으로 시스템 공격
다. 보안대책
- 주석문에 계정정보 등의 중요정보를 작성하지 않음
- 개발완료 시 개발에 사용한 계정정보 등의 중요정보를 확실하게 삭제
라. 안전하지 않은 코드
1. 주석문 내 중요정보
|
... // 관리자 계정 ( admin / admin1234 ) if ( !checkLogin( this.ID, this.PASS ) ) { showAlert( "Not Allow Login" ); return; } ...
|
마. 진단방법
<주석확인>
1. DB접속, 관리자 로그인 등이 구현된 코드 확인
2. 주석에 중요정보가 포함되어 있는지 확인
바. 정/오탐 케이스
<정탐 케이스>
1. 주석 안에 개발자의 이해를 돕기위한 목적 등으로 패스워드를 작성해 놓았을 경우
<오탐 케이스>
1. 주석 안에 password 등의 텍스트는 존재하지만, 실제 비밀번호가 아닐 경우는 안전하다고 판정
반응형
'Web Analytics > SW 보안약점 진단원' 카테고리의 다른 글
| [구현보안] 보안기능 15 - 무결성 검사없는 코드 다운로드 (0) | 2019.10.06 |
|---|---|
| [구현보안] 보안기능 14 - 솔트없이 일방향 해쉬 함수 사용 (0) | 2019.10.06 |
| [구현보안] 보안기능 12 - 사용자 하드디스크에 저장되는 쿠키를 통한 정보노출 (0) | 2019.10.06 |
| [구현보안] 보안기능 11 - 취약한 비밀번호 허용 (0) | 2019.10.06 |
| [구현보안] 보안기능 10 - 하드코드된 암호화 키 (0) | 2019.10.06 |
댓글
반응형
최근에 올라온 글
- Total
- Today
- Yesterday