[설계보안] 입력데이터 검증 및 표현 09 - 보안기능 동작에 사용되는 입력값 검증
가. 취약점 개요 - 쿠키, 환경변수, 히든필드값을 검증없이 사용하여 사용자 권한, 역할을 나타내는 변수를 조작을 통해 권한상승을 유발하는 취약점 → 보안기능 결정에 사용되는 부적절한 입력값 - 정수형 변수가 허용된 가장 큰 값보다 더 커져서 실제 저장 값이 아주 작은 수이거나 음수로 만들어, 반복문 제어, 메모리 할당 및 복사 등의 조건으로 사용될 때 오버플로우를 유도할 수 있는 취약점 → 정수형 오버플로우 - 참조하는 객체가 NULL인 경우 발생하는 예외상황을 이용하여 추후 공격을 계획할 수 있는 취약점 → NULL Pointer 역참조 나. 요구사항 1. 사용자의 역할, 권한을 결정하는 정보는 서버에서 관리 2. 보안기능을 수행하는 함수의 인자에 대한 검증작업 수행 후 제한적으로 사용 3. 쿠키를 ..
Web Analytics/SW 보안약점 진단원
2019. 9. 23. 00:25
반응형
최근에 올라온 글
- Total
- Today
- Yesterday