반응형
https://www.kisa.or.kr/public/laws/laws3.jsp
기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원
기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥
www.kisa.or.kr
구현 단계 시큐어코딩 가이드 - 캡슐화 - 시스템 데이터 정보 노출
가. 개요
- 시스템, 관리자, DB정보 등 시스템의 내부 데이터가 공개되면, 공격자에게 또 다른 공격의 빌미를 제공하게 된다.
나. 보안대책
- 일부 개발자의 경우 예외상황이 발생할 경우 시스템 메시지 등의 정보를 화면에 출력하도록 하는 경우가 많다. 예외상황이 발생할 때 시스템의 내부 정보가 화면에 출력되지 않도록 개발한다.
다. 코드 예제
JAVA
더보기
![](https://blog.kakaocdn.net/dn/cetkks/btqFT8c1XOu/mTZUfk05Ukks0kiEEoyqr0/img.png)
![](https://blog.kakaocdn.net/dn/wEMiS/btqFT8KRgB4/Ca0MYtn1ALOWNF900oRUwK/img.png)
예외 발생 시 getMessage()를 이용한 오류 메시지를 통해 오류와 관련된 시스템 정보 등 민감한 정보가 유출될 수 있다.
![](https://blog.kakaocdn.net/dn/cetkks/btqFT8c1XOu/mTZUfk05Ukks0kiEEoyqr0/img.png)
가급적이면 공격의 빌미가 될 수 있는 오류와 관련된 상세한 정보는 사용자에게 노출되지 않도록 최소한의 정보만을 제공한다.
![](https://blog.kakaocdn.net/dn/wEMiS/btqFT8KRgB4/Ca0MYtn1ALOWNF900oRUwK/img.png)
C#
더보기
![](https://blog.kakaocdn.net/dn/vROoZ/btqFQ8dZyln/uCyc5KesegkEwAFl5dggGK/img.png)
![](https://blog.kakaocdn.net/dn/byZkUk/btqFRBNR0nh/aXRxKpIFHY5EJpbZXlThB0/img.png)
예외 발생 시 오류메시지를 통해 오류와 관련된 시스템 정보 등 민감한 정보가 유출될 수 있다.
![](https://blog.kakaocdn.net/dn/vROoZ/btqFQ8dZyln/uCyc5KesegkEwAFl5dggGK/img.png)
오류와 관련된 최소한의 정보만 제공하도록 한다.
![](https://blog.kakaocdn.net/dn/byZkUk/btqFRBNR0nh/aXRxKpIFHY5EJpbZXlThB0/img.png)
C
더보기
![](https://blog.kakaocdn.net/dn/pb6yx/btqFS0s2cMg/4GXQwEVvtqDQkdlrh2oWsk/img.png)
![](https://blog.kakaocdn.net/dn/4Pp8b/btqFUSU5SjV/4FBmMQne8NrEGFqXUdpS40/img.png)
아래는 오류 발생 시 시스템 정보를 노출하는 C 코드이다. 시스템에서 path 정보를 받아와서 오류 발생 시 path 정보를 노출한다.
![](https://blog.kakaocdn.net/dn/pb6yx/btqFS0s2cMg/4GXQwEVvtqDQkdlrh2oWsk/img.png)
Path 정보를 노출하지 않고 오류와 관련된 최소한의 정보만 제공하도록 한다.
![](https://blog.kakaocdn.net/dn/4Pp8b/btqFUSU5SjV/4FBmMQne8NrEGFqXUdpS40/img.png)
참고자료
- CWE-497 Exposure of System Data to an Unauthorized Control Sphere, MITRE,
http://cwe.mitre.org/data/definitions/497.html - Error Handling, OWASP,
https://www.owasp.org/index.php/Error_Handling
반응형
'공부 > KISA' 카테고리의 다른 글
Private 배열에 Public 데이터 할당 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.22 |
---|---|
Public 메소드부터 반환된 Private 배열 - KISA 소프트웨어 개발 보안 가이드 (1) | 2020.07.22 |
제거되지 않고 남은 디버그 코드 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.22 |
잘못된 세션에 의한 데이터 정보노출 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.22 |
초기화되지 않은 변수 사용 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.22 |
댓글