반응형
https://www.kisa.or.kr/public/laws/laws3.jsp
기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원
기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥
www.kisa.or.kr
구현 단계 시큐어코딩 가이드 - 캡슐화 - 시스템 데이터 정보 노출
가. 개요
- 시스템, 관리자, DB정보 등 시스템의 내부 데이터가 공개되면, 공격자에게 또 다른 공격의 빌미를 제공하게 된다.
나. 보안대책
- 일부 개발자의 경우 예외상황이 발생할 경우 시스템 메시지 등의 정보를 화면에 출력하도록 하는 경우가 많다. 예외상황이 발생할 때 시스템의 내부 정보가 화면에 출력되지 않도록 개발한다.
다. 코드 예제
JAVA
더보기
예외 발생 시 getMessage()를 이용한 오류 메시지를 통해 오류와 관련된 시스템 정보 등 민감한 정보가 유출될 수 있다.
가급적이면 공격의 빌미가 될 수 있는 오류와 관련된 상세한 정보는 사용자에게 노출되지 않도록 최소한의 정보만을 제공한다.
C#
더보기
예외 발생 시 오류메시지를 통해 오류와 관련된 시스템 정보 등 민감한 정보가 유출될 수 있다.
오류와 관련된 최소한의 정보만 제공하도록 한다.
C
더보기
아래는 오류 발생 시 시스템 정보를 노출하는 C 코드이다. 시스템에서 path 정보를 받아와서 오류 발생 시 path 정보를 노출한다.
Path 정보를 노출하지 않고 오류와 관련된 최소한의 정보만 제공하도록 한다.
참고자료
- CWE-497 Exposure of System Data to an Unauthorized Control Sphere, MITRE,
http://cwe.mitre.org/data/definitions/497.html - Error Handling, OWASP,
https://www.owasp.org/index.php/Error_Handling
반응형
'공부 > KISA' 카테고리의 다른 글
| Private 배열에 Public 데이터 할당 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.22 |
|---|---|
| Public 메소드부터 반환된 Private 배열 - KISA 소프트웨어 개발 보안 가이드 (1) | 2020.07.22 |
| 제거되지 않고 남은 디버그 코드 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.22 |
| 잘못된 세션에 의한 데이터 정보노출 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.22 |
| 초기화되지 않은 변수 사용 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.22 |
댓글