소프트웨어 보안 약점[7가지] - 공부하는 도비

오늘은 소프트웨어 보안 약점에 대해 알아볼게요.

총 7개로 나눠보았습니다.

 

항목	보안약점
입력 데이터 검증 및 표현	프로그램 입력 값에 대한 부적절한 검증 등으로 인해 발생할 수 있는 보안약점 ex) SQL 삽입, 경로 조작 및 자원 삽입, 크로스 사이트 스크립팅(XSS), 운영체제 명령어 삽입, 위험한 형식 파일 업로드, 신뢰되지 않는 URL 주소로 자동접속 연결 등
보안 기능	인증, 접근제어, 권한 관리 등을 적절하지 않게 구현할 경우 발생할 수 있는 보안약점 ex) 적절한 인증 없이 중요기능 허용, 부적절한 인가 허용, 중요 정보 평문 저장 및 전송, 하드 코드 된 패스워드, 취약한 암호화 알고리즘 사용 등
시간 및 상태	멀티 프로세스 동작환경에서 부적절한 시간 및 상태 관리로 발생할 수 있는 보안약점 ex) 경쟁조건(TOCTOU), 제어문을 사용하지 않는 반복문 또는 재귀 함수 등
에러처리	불충분한 에러 처리로 중요 정보가 에러 정보에 포함되어 발생할 수 있는 보안약점 ex) 오류 메시지를 통한 정보노출, 오류 상황 대응 부재, 부적절한 예외처리 등
코드 오류	개발자가 범할 수 있는 코딩 오류로 인해 유발되는 보안 약점 ex) Null 포인터 역참조, 부적절한 자원 해제, 해제된 자원 사용, 초기화되지 않은 변수 사용 등
캡슐화	불충분한 캡슐화로 인가되지 않는 사용자에게 데이터가 노출될 수 있는 보안정책 ex) 잘못된 세션에 의한 정보 노출, 제거되지 않고 남은 디버그 코드, 시스템 데이터 정보 노출 등
API 오용	부적절하거나, 보안에 취약한 API 사용으로 발생할 수 있는 보안약점  ex) DNS lookup에 의존한 보안 결정, 취약한 API 사용 등