: 설계/구현 단계에서 해킹 등의 공격을 유발할 가능성이 있는 잠재적인 보안 취약점 사전 제거, 외부 공격으로부터 안전한 SW개발하는 기법
: 입력값으로 발생하는 문제 예방하기 위해 구현단계에서 검증해야할 보안 점검목록
: 검증되지 않은 외부 데이터가 포함된 웹페이지가 전송되는 경우, 사용자가 해당 웹페이지를 열람함으로써 부적절한 스크립트 실행
이름 | 설명 |
---|---|
Stored XSS | 방문자들이 악성스크립트가 포함된 페이지를 읽어보면서 악성스크립트가 실행되면서 감염 |
Reflected XSS | 악성 URL을 이메일로 전송하여 클릭시 바로 감염 |
Document, Object, Model XSS (DOM XSS) | DOM 기반 취약한 브라우저에 악성 URL을 이메일로 전송하여 클릭시 바로 감염 |
: 사용자의 의지와 무관하게 공격자가 의도한 행위를 타 웹사이트에 요청하는 공격
: 응용프로그램의 취약점을 이용하여 악의적인 SQL 구문 삽입 -> 정보탈취, 조작
: 운영체제 명령어 파라미터 입력값이 사전 점검을 거치지 않고 사용되어 공격자가 운영체제 명령어 조작
: 자원을 조작할 수 있는 문자열 삽입하여 시스템이 보호하고 있는 자원에 임의로 접근할 수 있는 취약점
: 개발단계에서 적절히 기능을 구현하기 위한 보안 점검
: 병렬시스템, 하나 이상의 프로세스가 동작하는 환경에서 시간/상태의 부적절한 관리로 발생할 수 있는 취약점 예방
: 예외 처리X, 중요한 정보가 포함될때 발생할 수 있는 취약점 개발
: 프로그램 변환시 오류, 서버의 리소스 자원의 부적절한 반환 등 개발자 실수 방지
: 외부에 은닉이 필요한 정보를 캡슐화하지 않으면 유출, 권한 문제 발생
: 잘못된 방법으로 API이용, 보안에 취햑한 API오용하여 발생할 수 있는 보안 취약점 예방