반응형 경로 조작 및 자원삽입1 [시큐어코딩] 경로 조작 및 자원삽입_개념 및 보안대책 입력 데이터 검증 및 표현 - 경로 조작 및 자원 삽입 [개념] 시스템 자원 접근경로 또는 자원제어 명령어에 검증되지 않은 외부 입력값을 허용하여 시스템 자원에 무단 접근 및 악의적인 행위가 가능한 보안약점 [공격 사례] - 경로조작 및 자원삽입 - 입력값을 조작하여 허가되지 않은 명령 실행 [설계 시 고려사항] 1. 외부입력값을 이용하여 시스템자원(IP, PORT번호, 프로세스, 메모리, 파일 등)을 식별하는 경우 허가되지 않은 자원이 사용되지 않도록 해야 한다. 2. 서버프로그램 안에서 셸을 생성하여 명령어를 실행해야 하는 경우 외부입력값에 의해 악의적인 명령어가 실행되지 않도록 해야 한다. [보안대책] 외부의 입력을 자원(파일, 소켓의 포트 등)의 식별자로 사용하는 경우, 적절한 검증을 거치도록 하.. 2024. 3. 19. 이전 1 다음 반응형
