보안 02 입력 데이터 검증 및 표횬

입력 데이터 검증 및 표횬

 

유효성 검증(Validation) : 데이터가 특정 요구사항을 충족했다는 것을 확인하여 의도치 않는 동작 방지

 

DBMS 조회 및 결과 검증

    DBMS 조회시 질의문(SQL)내 입력값과 그 조회결과에 대한 유효성 검증방법(필터링 등) 설계 및 유효하지 않은 값에 대한 처리방법 설계

XML 조회 및 결과 검증

           XML 조회시 질의문(XPath,XQuery등) 내 입력값과 그 조회결과에 대한 유효성 검증방법(필터링 등)설계 및 유효하지 않은 값에 대한 처리 방법 설계

디렉토리 서비스 조회 및 결과 검증

           디렉토리 서비스(LDAP 등)를 조회할 때 입력값과 그 조회결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리 방법 설계

웹 서비스 요청 및 결과 검증

           웹 서비스(게시판 등)요청(스크립트 게시 등)과 응답결과(스크립트를 포함한 웹 페이지)에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리 방법 설계

웹 기반 중요 기능 수행 요청 유효성 검증

           비밀번호 변경 결제 등 사용자 권한 확인이 필요한 중요기느을 수행하 때 웹 서비스 요청에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법 설계

HTTP 프로토콜 유효성 검증

           비정상적은 HTTP헤더 자동연결 URL링크 등 사용자가 원하지 않은 결과를 생성하는 HTTP헤더 응답결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리 방법 설계

허용된 범위내 메모리 접근

           해당 프로세스에 허용된 범위의 메모리 버퍼에만 접근하여 읽기 또는 쓰기 기능을 하도록 검증방법 설계 및 메모리 접근 요청이 허용범위를 벗어났을 때 처리 방법설계

보안기능 입력값 검증

           보안기능(인증,권한부여 등)입력 값과 함수(또는 메소드)의 외부 입력값 및 수행결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리 방법 설계

업로드 다운로드 파일 검증

           업로드 다운로드 파일의 무결성 실핼권한 등에 관한 유효성 검증방법 설계 및 부적합한 파일에 대한 처리 방법 설계

 

 

보안 기능

*인증관리

 인증 대상 및 방식

           중요정보 기능의 특성에 따라 인증방식을 정의하고 정의된 인증방식을 우회하지 못하게 설계

인증 수행 제한

           반복된 인증 시도를 제한하고 인증 실패한 이력을 추적하도록 설계

비밀번호 관리

        생성 규칙, 저장방법,변경주기 등 비밀번호 관리정책별 안정한 적용방법 살계

 

*접근권한관리

중요자원 접근통제

        중요자원(프로그램 설정, 민감한 사용자 데이터등)을 정의하고 정의된 중요자원에 대한 신뢰할 수 있는 접근통제 방법(권한관리 포함)설계

      및 접근통제 실패시 처리 방법 설계

 

*암호관리

암호키 관리

        암호키 생성, 분배, 접근, 파기 등 암호키 생명주기별 암호키 관리 방법을 안전하게 설계

암호연산

        국제표준 또는 검증필 암호모듈로 등재된 안전한 암호 알고리즘을 선정하고 충분한 암호키 길이 , 솔트 , 충분한 난수값을 적용한

        안전한 암호 연산 수행방법 설계

 

*중요정보처리

중요정보 저장

        중요정보(비밀번호,개인정보 등)를 저장,보관하는 방법이 안전하도록 설계

중요정보 전송

        중요정보(비밀번호,개인정보,쿠키 등)를 전송하는 방법이 안전하도록 설계

 

에러처리

에러 또는 오류사항을 처리하지 않거나 불충분하게 처리되어 중요정보 유출 등 보안약점이 발생하지 않도록 설계

 

* 에러 처리

   에러 처리

        오류메세지에 중요정보(개인정보, 시스템 정보, 민감정보 등)가 노출되거나, 부적적한 에러 오류 처리로 의도치 않은 상황이 발생하지 않도록 설계

 

세션통제

HTTP를 이용하여 연결을 유지하는 경우 세션을 안전하게 할당하고 관리하여 세션정보 노출이나 세션 하이재킹과 같은 침해사고가 발생하지 않도록 설계

 

* 세션 통제

   세션 통제

        다른 세션 간 데이터 공유금지, 세션ID 노출금지,(재)로그인시 세션 ID 변경, 세션종료(비활성화 유효기간 등)처리 세션을 안전하게 관리 할 수 있는 방안 설계