공부176 DNS lookup에 의존한 보안결정 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - API 오용 - DNS lookup에 의존한 보안 결정 가. 개요 공격자가 DNS 엔트리를 속일 수 있으므로 도메인명에 의존에서 보안 결정(인증 및 접근 통제 등)을 하지 않아야 한다. 만약, 로컬 DNS 서버의 캐시가 공격자에 의해 오염된 상황이라면, 사용자와 특정 서버 간의 네트워크 트래픽이 공격자를 경유하도록 .. 2020. 7. 22. Private 배열에 Public 데이터 할당 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 캡슐화 - Private 배열에 Public 데이터 할당 가. 개요 public으로 선언된 메소드의 인자가 private 선언된 배열에 저장되면, private배열을 외부에서 접근하여 배열 수정과 객체 속성 변경이 가능해진다. 나. 보안대책 public으로 선언된 메서드의 인자를 private선언된 배열로 저장되지 .. 2020. 7. 22. Public 메소드부터 반환된 Private 배열 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 캡슐화 - Public 메소드부터 반환된 Private 배열 가. 개요 private로 선언된 배열을 public으로 선언된 메소드를 통해 반환(return)하면, 그 배열의 레퍼런스가 외부에 공개되어 외부에서 배열 수정과 객체 속성 변경이 가능해진다. 나. 보안대책 private로 선언된 배열을 public으로 선.. 2020. 7. 22. 시스템 데이터 정보노출 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 캡슐화 - 시스템 데이터 정보 노출 가. 개요 시스템, 관리자, DB정보 등 시스템의 내부 데이터가 공개되면, 공격자에게 또 다른 공격의 빌미를 제공하게 된다. 나. 보안대책 일부 개발자의 경우 예외상황이 발생할 경우 시스템 메시지 등의 정보를 화면에 출력하도록 하는 경우가 많다. 예외상황이 발생할 때 시스템의 내부.. 2020. 7. 22. 제거되지 않고 남은 디버그 코드 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 캡슐화 - 제거되지 않고 남은 디버그 코드 가. 개요 디버깅 목적으로 삽입된 코드는 개발이 완료되면 제거해야 한다. 디버그 코드는 설정 등의 민감한 정보를 담거나 시스템을 제어하게 허용하는 부분을 담고 있을 수 있다. 만일, 남겨진 채로 배포될 경우, 공격자가 식별 과정을 우회하거나 의도하지 않은 정보와 제어 정보가.. 2020. 7. 22. 잘못된 세션에 의한 데이터 정보노출 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 캡슐화 - 잘못된 세션에 의한 데이터 정보 노출 가. 개요 다중 스레드 환경에서는 싱글톤(Singleton) 객체 필드에 경쟁조건(Race Condition)이 발생할 수 있다. 따라서, 다중 스레드 환경인 Java의 서블릿(Servlet) 등에서는 정보를 저장하는 멤버 변수가 포함되지 않도록 하여, 서로 다른 세션.. 2020. 7. 22. 이전 1 2 3 4 5 6 7 ··· 30 다음
