반응형
https://www.kisa.or.kr/public/laws/laws3.jsp
기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원
기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥
www.kisa.or.kr
분석∙설계단계 SW 보안강화 - 설계보안항목 정의 및 설계 시 고려 사항 - 디렉터리 서비스 조회 및 결과 검증
설명
- 디렉토리 서비스 조회(LDAP 등) 시 사용되는 입력값과 조회 결과에 대한 검증방법(필터링 등)을 설계
하고 유효하지 않은 값에 대한 처리방법을 설계해야 한다.
설계항목내용
- LDAP 인증서버를 통해 인증을 구현하는 경우 인증 요청을 위해 사용되는 외부 입력값은 LDAP 삽입 취약점을 가지지 않도록 필터링해서 사용해야 한다.
가. 취약점 개요
- 외부 입력값이 LDAP 조회를 수행하기 위한 필터 생성에 사용되는 경우 필터 규칙을 변경할 수 있는 입력값에 대한 검증 작업을 수행하지 않게 되면 공격자가 의도하는 LDAP 조회가 수행될 수 있는 취약점이다.
나. 설계 시 고려사항
1. LDAP 인증서버를 통해 인증을 구현하는 경우 인증 요청을 위해 사용되는 외부 입력값은 LDAP 삽입 취약점을 가지지 않도록 필터링해서 사용해야 한다
- LDAP 인증이 포함되는 기능 설계 시, 외부 입력값이 LDAP 조회를 위한 검색 필터 생성에 삽입되어 사용되는 경우, 필터 규칙으로 인식 가능한 특수문자(=, +, <, >, #, ;, ₩ 등)들을 제거하고 사용할 수 있도록 시큐어코딩 규칙을 정의해야 한다.
참고자료
- CWE‐90 LDAP Injection, MITRE,
http://cwe.mitre.org/data/definitions/90.html - 2016 OWASP Application Security Verification Standard, OWASP, Malicious Input Handling Verification Requirements,
http://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project - "LDAP Resources", http://ldapman.org/
- "LDAP Injection & Blind LDAP Injection”
http://www.blackhat.com/presentations/bheurope-08/Alonso-Parada/Whitepaper/bh-eu-08-alonso-parada-WP.pdf
반응형
'공부 > KISA' 카테고리의 다른 글
| 웹 기반 중요기능 수행 요청 유효성 검증 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.09 |
|---|---|
| 웹 서비스 요청 및 결과 검증 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.09 |
| 시스템 자원 접근 및 명령어 수행 입력값 검증 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.09 |
| XML 조회 및 결과 검증 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.09 |
| DBMS 조회 및 결과 검증 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.08 |
댓글