[설계보안] 입력데이터 검증 및 표현 01 - DBMS 조회 및 결과 검증
가. 취약점 개요 - SQL문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 취약점 → SQL삽입 나. 요구사항 1. 최소권한의 계정사용 2. 동적 SQL문을 생성 및 사용하지 않음 3. 동적 SQL 사용 시 입력값 검증 다. 요구사항 별 고려사항 1. 최소 권한의 계정사용 - 침해사고가 발생하더라도 다른 애플리케이션에 대해 공격자가 액세스 권한을 가지지 않도록 방지 2. 동적 SQL문을 생성 및 사용하지 않음 - ORM프레임워크를 사용하여 안전한 정적쿼리구조의 SQL문을 수행 - 외부입력값에 의해 쿼리문의 구조가 변경되지 않도록 입력값을 바인딩 처리 3. 동적 SQL 사용 시 입력값 검증 - 서블릿 필터를 이용한 입력값 검증 - 인터셉트를 이용한 입력값 검증 - 라이브러리 또는 Validato..
Web Analytics/SW 보안약점 진단원
2019. 9. 17. 23:52
반응형
최근에 올라온 글
- Total
- Today
- Yesterday