반응형 적절하지 않은 난수값 사용1 [시큐어코딩] 적절하지 않은 난수값 사용, random() 취약점 예측 가능한 난수를 사용하면 시스템에 보안약점을 유발한다. random()함수가 그 대표적인 예로, 시큐어 코딩이 필요하다. 행정안전부에서 SW개발보안 가이드 47개 항목 중 보안 기능의 24번째 항목 "적절하지 않은 난수값 사용"에 해당하는 부분이다. 오늘은 난수값의 정확한 시큐어코딩 방법에 대해 공부하고자 한다. 난수란? 어떤 주기로 반복되지 않고, 특정한 규칙 없이 무작위로 나열돼 있는 수 쉽게 말해서 예측 불가능한 수라고 생각하면 된다. 난수를 사용하지 않고 예측 가능한 수를 사용하면, 공격자는 SW에서 생성되는 다음 숫자를 예상하여 시스템을 공격하는 것이 가능하다. 예를 들어 Java의 경우 랜덤 난수를 발생시킬 때 보통 Math.random()을 많이 사용하는데, 해당 메소드의 사용은 시드값을.. 2023. 11. 4. 이전 1 다음 반응형
