티스토리 뷰
반응형
가. 원인
- 프로그램에서 발생한 오류에 대해 어떠한 조치도 수행하지 않아 비정상적인 상태로 실행되는 경우
나. 영향
- 개발자가 의도하지 않은 방향으로 프로그램이 동작
- DB연결 상태에서 예외 발생 시 열결해제 작업이 제대로 수행되지 않을 경우, DB연결을 수행할 수 없음
- 예외 상태에 대한 로깅정보가 존재하지 않을 경우, 오류 상황에 대한 사후처리가 어려움
다. 보안대책
- 오류가 발생할 수 있는 부분에 대해 적절한 예외처리를 구현
- Exception 발생 시 특별히 수행할 작업이 없을 경우, 간단한 메시지라도 로그로 기록
라. 안전하지 않은 코드
1. 안전하지 않은 오류처리
|
try { String strCnt = request.getParameter( "count" ) int count = Integer.parseInt( strCnt ); } catch ( Exception e ) { // Exception 발생 시 어떠한 작업도 하지 않을 경우 취약 // logger.error("Not numberic data : " + strCnt ); // showAert( "Incorrect Input Data" ); } ... |
마. 진단방법
<오류메시지 확인>
1. 오류가 발생할 수 있는 구간에 예외처리를 수행하고 있는지 확인
2. 작성된 예외처리 내용이 적절히 수행되고 있는지 확인
3. Exception이 발생해도 큰 문제가 없는 로직에서 로그라도 남기고 있는지 확인
반응형
'Web Analytics > SW 보안약점 진단원' 카테고리의 다른 글
| [구현보안] 코드오류 01 - Null Pointer 역참조 (0) | 2019.10.07 |
|---|---|
| [구현보안] 에러처리 03 - 부적절한 예외 처리 (0) | 2019.10.07 |
| [구현보안] 에러처리 01 - 오류 메시지를 통한 정보 노출 (0) | 2019.10.07 |
| [구현보안] 시간 및 상태 02 - 종료되지 않은 반복문 또는 재귀함수 (0) | 2019.10.06 |
| [구현보안] 시간 및 상태 01 - 경쟁조건: 검사시점과 사용시점(TOC-TOU) (0) | 2019.10.06 |
댓글
반응형
최근에 올라온 글
- Total
- Today
- Yesterday