| 평가대상 |  | ’12.12월 사업비 40억원이상 → ’14.1월 20억이상 → ’15.1월 5억이상
범위 : 소스코드(신규개발 전체 및 유지보수로 변경된 부분), 단, 상용SW 제외 | | | | | | | | 평가절차 | | | | | | | 진단항목 | | 7개 유형 47개 진단항목(입력 데이터 검증 및 표현, 보안기능, 시간 및 상태, 에러처리, 코드오류, 캡슐화, API 오용)
| 유형 | 주요내용 | 개수 (47) | | 입력 데이터 검증 및 표현 | 프로그램 입력 값에 대한 부적젃한 검증 등으로 인해 발생할 수 있는 보안약점
1. SQL 삽입
2. 경로 조작 및 자원 삽입
3. 크로스사이트 스크립트
4. 운영체제 명령어 삽입
5. 위험한 형식 파일 업로드
6. 신뢰되지 않는 URL 주소로 자동접속 연결
7. XQuery 삽입
8. XPath 삽입
9. LDAP 삽입
10. 크로스사이트 요청 위조
11. HTTP 응답분할
12. 정수형 오버플로우
13. 보안 기능 결정에 사용되는 부적절한 입력값
14. 메모리 버퍼 오버플로우
15. 포맷 스트링 삽입
| 15 | | 보안기능 | 인증, 접근제어, 권한 관리 등을 적젃하지 않게 구현시 발생할 수 있는 보안약점
1. 적절한 인증 없는 중요 기능 허용
2. 부적절한 인가
3. 중요한 자원에 대한 잘못된 권한 설정
4. 취약한 암호화 알고리즘 사용
5. 중요정보 평문저장
6. 중요정보 평문전송
7. 하드코드된 비밀번호
8. 충분하지 않은 키길이 사용
9. 적절하지 않은 난수 값 사용
10. 하드코드된 암호화 키
11. 취약한 비밀번호 허용
12. 사용자 하드디스크에 저장되는 쿠키를 통한 정보노출
13. 주석문 안에 포함된 시스템 주요정보
14. 솔트 없이 일방향 해쉬 함수 사용
15 무결성 검사 없는 코드 다운로드
16. 반복된 인증시도 제한 기능 부재
| 16 | | 시간 및 상태 | 멀티프로세스 동작환경에서 부적젃한 시간 및 상태 관리로 발생할 수 있는 보안약점 1. 경쟁조건: 검사시점과 사용시점(TOCTOU)
2. 종료되지 않는 반복문 또는 재귀함수 | 2 | | 에러처리 | 불충분한 에러 처리로 중요정보가 에러정보에 포함되어 발생할 수 있는 보안약점
1. 오류메시지를 통한 정보노출
2. 오류 상황 대응 부재
3. 부적절한 예외 처리
| 3 | | 코드오류 | 개발자가 범할 수 있는 코딩오류로 인해 유발되는 보안약점
1. Null Pointer 역참조
2. 부적절한 자원 해제
3. 해제된 자원 사용
4. 초기화되지 않은 변수 사용
| 4 | | 캡슐화 | 불충분한 캡슐화로 인가되지 않은 사용자에게 데이터가 노출될 수 있는 보안약점
1. 잘못된 세션에 의한 데이터 정보 노출
2. 제거되지 않고 남은 디버그 코드
3. 시스템 데이터 정보노출
4. Public 메소드로부터 반환된 Private 배열
5. Private 배열에 Public 데이터 할당
| 5 | | API오용 | 부적절하거나, 보안에 취약한 API 사용으로 발생할 수 있는 보안약점
1. DNS lookup에 의존한 보안 결정
2. 취약한 API 사용
| 2 |
| | | | | | |
|
댓글