[설계보안] 입력데이터 검증 및 표현 02 - XML 조회 및 결과 검증
가. 취약점 개요 - 입력값 조작을 통해 XQuery나 XPath의 쿼리문 구조를 변경하여 허가받지 않은 데이터를 조회하거나 인증절차를 우회하는 취약점 → XQuery 삽입 → XPath 삽입 나. 요구사항 1. XML쿼리에 사용되는 파라미터는 반드시 필터링하여 사용하거나 자료형에 따라 바인딩해서 사용 다. 요구사항 별 고려사항 1. XML쿼리에 사용되는 파라미터는 반드시 필터링하여 사용하거나 자료형에 따라 바인딩해서 사용 - Validator 컴포넌트를 통해 입력값 검증작업이 일괄적용되도록 설계 - 필터를 통해 특수기호 ( ", [, ], /, =, @ ) 필터링하도록 설계 - 각각의 컴포넌트에서 특수기호 ( ", [, ], /, =, @ ) 필터링하도록 설계 라. 요구사항 별 진단기준 및 방법 0. ..
Web Analytics/SW 보안약점 진단원
2019. 9. 18. 00:08
반응형
최근에 올라온 글
- Total
- Today
- Yesterday