분류 전체보기251 Public 메소드부터 반환된 Private 배열 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 캡슐화 - Public 메소드부터 반환된 Private 배열 가. 개요 private로 선언된 배열을 public으로 선언된 메소드를 통해 반환(return)하면, 그 배열의 레퍼런스가 외부에 공개되어 외부에서 배열 수정과 객체 속성 변경이 가능해진다. 나. 보안대책 private로 선언된 배열을 public으로 선.. 2020. 7. 22. 시스템 데이터 정보노출 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 캡슐화 - 시스템 데이터 정보 노출 가. 개요 시스템, 관리자, DB정보 등 시스템의 내부 데이터가 공개되면, 공격자에게 또 다른 공격의 빌미를 제공하게 된다. 나. 보안대책 일부 개발자의 경우 예외상황이 발생할 경우 시스템 메시지 등의 정보를 화면에 출력하도록 하는 경우가 많다. 예외상황이 발생할 때 시스템의 내부.. 2020. 7. 22. 제거되지 않고 남은 디버그 코드 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 캡슐화 - 제거되지 않고 남은 디버그 코드 가. 개요 디버깅 목적으로 삽입된 코드는 개발이 완료되면 제거해야 한다. 디버그 코드는 설정 등의 민감한 정보를 담거나 시스템을 제어하게 허용하는 부분을 담고 있을 수 있다. 만일, 남겨진 채로 배포될 경우, 공격자가 식별 과정을 우회하거나 의도하지 않은 정보와 제어 정보가.. 2020. 7. 22. 잘못된 세션에 의한 데이터 정보노출 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 캡슐화 - 잘못된 세션에 의한 데이터 정보 노출 가. 개요 다중 스레드 환경에서는 싱글톤(Singleton) 객체 필드에 경쟁조건(Race Condition)이 발생할 수 있다. 따라서, 다중 스레드 환경인 Java의 서블릿(Servlet) 등에서는 정보를 저장하는 멤버 변수가 포함되지 않도록 하여, 서로 다른 세션.. 2020. 7. 22. 초기화되지 않은 변수 사용 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 코드오류 - 초기화되지 않은 변수 사용 가. 개요 C 언어의 경우 스택 메모리에 저장되는 지역변수는 생성될 때 자동으로 초기화되지 않는다. 초기화되지 않은 변수를 사용하게 될 경우 임의 값을 사용하게 되어 의도하지 않은 결과를 출력하거나 예상 치 못한 동작을 수행할 수 있다. 나. 보안대책 초기화되지 않은 스택 메모.. 2020. 7. 22. 해제된 자원 사용 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 코드 오류 - 해제된 자원 사용 가. 개요 C언어에서 동적 메모리 관리는 보안 취약점을 유발하는 대표적인 프로그램 결함의 원인이다. 해제한 메모리를 참조하게 되면 예상치 못한 값 또는 코드를 실행하게 되어 의도하지 않은 결과가 발생하게 된다. 나. 보안대책 동적으로 할당된 메모리를 해제한 후 그 메모리를 참조하고 있.. 2020. 7. 22. 이전 1 ··· 7 8 9 10 11 12 13 ··· 42 다음
