반응형
https://www.kisa.or.kr/public/laws/laws3.jsp
기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원
기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥
www.kisa.or.kr
구현 단계 시큐어코딩 가이드 - 보안 기능 - 적절한 인증 없는 중요 기능 허용
가. 개요
- 적절한 인증과정이 없이 중요정보(계좌이체 정보, 개인정보 등)를 열람(또는 변경)할 때 발생하는 보안약점이다.
나. 보안대책
- 클라이언트의 보안검사를 우회하여 서버에 접근하지 못하도록 설계하고 중요한 정보가 있는 페이지는 재인증을 적용(은행 계좌이체 등)한다. 또한 안전하다고 검증된 라이브러리나 프레임워크 (OpenSSL이나 ESAPI의 보안 기능 등)를 사용하는 것이 중요하다.
다. 코드예제
JAVA
더보기
회원정보 수정 시 수정을 요청한 사용자와 로그인한 사용자의 일치 여부를 확인하지 않고 처리하고 있다.
로그인한 사용자와 요청한 사용자의 일치 여부를 확인한 후 회원정보를 수정하도록 한다.
참고자료
- CWE-306 Missing Authentication for Critical Function, MITRE,
http://cwe.mitre.org/data/definitions/306.html - Access Control, OWASP,
https://www.owasp.org/index.php/Access_Control_Cheat_Sheet
반응형
'공부 > KISA' 카테고리의 다른 글
| 중요한 자원에 대한 잘못된 권한 설정 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.20 |
|---|---|
| 부적절한 인가 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.20 |
| 포맷 스트링 삽입 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.20 |
| 메모리 버퍼 오버플로우 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.20 |
| 보안기능 결정에 사용되는 부적절한 입력값 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.20 |
댓글