반응형
https://www.kisa.or.kr/public/laws/laws3.jsp
기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원
기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥
www.kisa.or.kr
구현 단계 시큐어코딩 가이드 - 보안 기능 - 주석문 안에 포함된 시스템 주요 정보
가. 개요
- 패스워드를 주석문에 넣어두면 시스템 보안이 훼손될 수 있다. 소프트웨어 개발자가 편의를 위해서 주석문에 패스워드를 적어둔 경우, 소프트웨어가 완성된 후에는 그것을 제거하는 것이 매우 어렵게 된다. 또한, 공격자가 소스코드에 접근할 수 있다면, 아주 쉽게 시스템에 침입할 수 있다.
나. 보안대책
- 주석에는 ID, 패스워드 등 보안과 관련된 내용을 기입하지 않는다.
다. 코드예제
JAVA
더보기
![](https://blog.kakaocdn.net/dn/cpUe6Z/btqFPHN7zL2/eylYBhmQy3ptK0YZoHiDl0/img.png)
![](https://blog.kakaocdn.net/dn/b3BojV/btqFOX4Wlh5/UFlkkzj4e3n9BOWHNbjIl1/img.png)
다음 예제는 개발자의 이해를 돕기 위한 목적 등 편리성을 위해 비밀번호를 주석문 안에 서술하고 제대로 지우지 않아서 보안약점이 발생한 경우이다.
![](https://blog.kakaocdn.net/dn/cpUe6Z/btqFPHN7zL2/eylYBhmQy3ptK0YZoHiDl0/img.png)
프로그램 개발 시에 주석문 등에 남겨놓은 사용자 계정이나 패스워드 등의 정보는 개발 완료 시에 확실하게 삭제하여야 한다.
![](https://blog.kakaocdn.net/dn/b3BojV/btqFOX4Wlh5/UFlkkzj4e3n9BOWHNbjIl1/img.png)
C#
더보기
![](https://blog.kakaocdn.net/dn/DkASf/btqFQaoZIcV/FM0IEY8wfQmBf7ZMBkSDo0/img.png)
![](https://blog.kakaocdn.net/dn/5B5x5/btqFPG2I9JO/0LaQtjJI0T7KHoy5lLr4a0/img.png)
주석에 패스워드를 포함하고 있는 C# 코드이다.
![](https://blog.kakaocdn.net/dn/DkASf/btqFQaoZIcV/FM0IEY8wfQmBf7ZMBkSDo0/img.png)
프로그램 개발 시에 주석문 등에 남겨놓은 사용자 계정이나 패스워드 등의 정보는 개발 완료 시에 확실하게 삭제하여야 한다.
![](https://blog.kakaocdn.net/dn/5B5x5/btqFPG2I9JO/0LaQtjJI0T7KHoy5lLr4a0/img.png)
C
더보기
![](https://blog.kakaocdn.net/dn/oVT03/btqFRAUC85f/Pn5nvtL0fycLuMqohP22Kk/img.png)
![](https://blog.kakaocdn.net/dn/CKVGj/btqFQ8Yj2gH/dLEjESmddxCWI3S5nyAV70/img.png)
주석에 패스워드를 포함하고 있는 C 예제 코드이다.
![](https://blog.kakaocdn.net/dn/oVT03/btqFRAUC85f/Pn5nvtL0fycLuMqohP22Kk/img.png)
불필요한 주석은 삭제해야 한다.
![](https://blog.kakaocdn.net/dn/CKVGj/btqFQ8Yj2gH/dLEjESmddxCWI3S5nyAV70/img.png)
참고자료
- CWE-615 Information Exposure Through Comments, MITRE,
http://cwe.mitre.org/data/definitions/615.html
반응형
'공부 > KISA' 카테고리의 다른 글
무결성 검사 없는 코드 다운로드 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.21 |
---|---|
솔트 없이 일방향 해쉬함수 사용 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.21 |
사용자 하드디스크에 저장되는 쿠키를 통한 정보노출 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.21 |
취약한 비밀번호 허용 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.21 |
하드코드된 암호화 키 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.21 |
댓글