[설계보안] 입력데이터 검증 및 표현 06 - 웹 기반 중요기능 수행요청 유효성 검증
가. 취약점 개요 - 세션탈취, XSS 등을 통해 공격자가 의도한 행위를 인증된 사용자의 권한을 통해 실행되는 취약점 → 크로스사이트 요청위조 나. 요구사항 1. 전송되는 모든 요청에 정상적인 사용자의 유효한 요청인지 판별할 수 있도록 설계 다. 요구사항 별 고려사항 1. 전송되는 모든 요청에 정상적인 사용자의 유효한 요청인지 판별할 수 있도록 설계 - 정상적인 사용자의 정상적인 절차에 의한 요청인지 구분하기 위해 세션별 CSRF 토큰을 생성 및 전달하여 요청의 유효성을 검사 - CAPTCHA 등을 이용하여 사용자와 상호처리 가능한 기법을 통해 위조된 요청을 차단 - 중요기능 처리 시 재인증을 통해 실제 요청여부를 확인 라. 요구사항 별 진단기준 및 방법 0. 공통내용 - 요구사항 정의서에 보안요구항목에..
Web Analytics/SW 보안약점 진단원
2019. 9. 22. 22:29
반응형
최근에 올라온 글
- Total
- Today
- Yesterday