https://wiki.ryanyang.kr/index.php?action=history&feed=atom&title=%EC%86%8C%ED%94%84%ED%8A%B8%EC%9B%A8%EC%96%B4_%EB%B3%B4%EC%95%88_%EC%B7%A8%EC%95%BD%EC%A0%90%287%EA%B0%80%EC%A7%80%29소프트웨어 보안 취약점(7가지) - 편집 역사2026-04-09T06:37:18Z이 문서의 편집 역사MediaWiki 1.32.2https://wiki.ryanyang.kr/index.php?title=%EC%86%8C%ED%94%84%ED%8A%B8%EC%9B%A8%EC%96%B4_%EB%B3%B4%EC%95%88_%EC%B7%A8%EC%95%BD%EC%A0%90(7%EA%B0%80%EC%A7%80)&diff=379&oldid=prev라이언양: 새 문서: == 소개 == 행정장치부와 한국인터넷진흥원(KISA)에서 발간한 http://www.kisa.or.kr/uploadfile/201702/201702140920275581.pdf|소프트웨어 개발 보안 가이...2019-11-05T19:59:36Z<p>새 문서: == 소개 == 행정장치부와 한국인터넷진흥원(KISA)에서 발간한 http://www.kisa.or.kr/uploadfile/201702/201702140920275581.pdf|소프트웨어 개발 보안 가이...</p>
<p><b>새 문서</b></p><div>== 소개 ==<br />
<br />
행정장치부와 한국인터넷진흥원(KISA)에서 발간한 [[http://www.kisa.or.kr/uploadfile/201702/201702140920275581.pdf|소프트웨어 개발 보안 가이드(링크)]]에 소스코드 보안 취약점 47가지가 7개 종류로 구분하여 설명됨. 그 목록은 아래와 같음.<br />
<br />
== 소스코드 보안 취약점 ==<br />
<br />
소스코드 보안 취약점은 7개로 분류하며 총 47개가 존재한다.<br />
<br />
# 입력데이터 검증 및 표현(15개)<br />
# 보안기능(16개)<br />
# 시간 및 상태(2개)<br />
# 에러처리(3개)<br />
# 코드오류(4개)<br />
# 캡슐화(5개)<br />
# API 오용(2개)<br />
<br />
=== 입력데이터 검증 및 표현 ===<br />
<br />
프로그램 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정으로 인해 발생할 수 있는 보안약점으로 총 15개가 존재한다. <br />
<br />
# SQL 삽입<br />
# 크로스사이트 스크립트(Cross Site Scripting, XSS)<br />
# 크로스사이트 요청 위조(Cross Site Request Forgery, CSRF)<br />
# Format String Bug<br />
# Integer Buffer Overflow<br />
# Memory Buffer Overflow<br />
# 위험한 형식 파일 업로드 (이하 생략)<br />
<br />
=== 보안기능 ===<br />
<br />
보안기능(인증, 접근제어, 기밀성, 암호화, 권한 관리 등)을 부적절하게 구현 시 발생할 수 있는 보안약점을 뜻하며 총 16개가 존재한다.<br />
<br />
# 중요정보 평문저장<br />
# 중요정보 평문전송<br />
# 하드코드된 비밀번호<br />
# 하드코드된 암호화 키<br />
# 충분하지 않은 키 길이 사용 (이하 생략)<br />
<br />
=== 시간 및 상태 ===<br />
<br />
동시 또는 거의 수행을 지원하는 병렬 시스템 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리하여 발생할 수 있는 보안약점으로 총 2개가 존재한다.<br />
<br />
# 경쟁 조건(Race Condition): 검사 시점과 사용 시점(TOCTOU) 차이 이용하여 해킹<br />
# 종료되지 않는 반복문 또는 재귀 함수<br />
<br />
=== 에러처리 ===<br />
<br />
에러를 처리하지 않거나, 불충분하게 처리하여 에러정보에 중요정보(시스템 등)가 포함될 때 발생할 수 있는 보안약점으로 총 3개가 존재한다.<br />
<br />
# 오류 메시지를 통한 정보 노출<br />
# 오류 상황 대응 부재<br />
# 부적절한 예외 처리<br />
<br />
=== 코드오류 ===<br />
<br />
타입변환 오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범할 수 있는 코딩오류로 인해 유발되는 보안약점으로 총 4개가 존재한다.<br />
<br />
# Null Pointer 역참조<br />
# 부적절한 자원 해제<br />
# 해제된 자원 사용<br />
# 초기화되지 않은 변수 사용<br />
<br />
=== 캡슐화 ===<br />
<br />
중요한 데이터 또는 기능성을 불충분하게 캡슐화 하였을 때, 인가되지 않은 사용자에게 데이터 누출이 가능해지는 보안약점으로 총 5개가 존재한다.<br />
<br />
# 잘못된 세션에 의한 데이터 정보 노출<br />
# 제거되지 않고 남은 디버그 코드<br />
# 시스템 데이터 정보노출<br />
# Public 메소드로부터 반환된 Private 배열<br />
# Private 배열에 Public 데이터 할당<br />
<br />
=== API 오용 ===<br />
<br />
의도된 사용에 반하는 방법으로 API를 사용하거나, 보안에 취약한 API를 사용하여 발생할 수 있는 보안약점으로 총 2개가 존재한다.<br />
<br />
# DNS lookup에 의존한 보안결정<br />
# 취약한 API 사용<br />
<br />
[[분류:보안]]<br />
[[분류:정보보안기사]]<br />
[[분류:소스코드]]<br />
[[분류:개발]]</div>라이언양