중요정보 전송 20220906

중요정보 전송

보안대책

-       인증정보와 같은 민감한 정보 전송 시 안전하게 암호화해서 전송해야 한다.

-       쿠키에 포함되는 중요정보는 암호화해서 전송해야 한다.

 

취약점 개요

프로그램이 보안과 관련된 민감한 데이터를 평문으로 송 수신할 경우 통신채널 스니핑으로

 인가되지 않은 사용자에게 민감한 데이터가 노출될 수 있다.

 

설계 시 고려사항

a.     인증정보와 같은 민감한 정보 전송 시 안전하게 암호화해서 전송해야 한다.

-       분석단계에서 정의된 중요정보를 네트워크로 전송해야 한는 경우 안전한 암호모듈로 암호화한 뒤

전송하거나 안전한 통신 채널을 사용하도록 설계한다. 안전한 암호화는 암호연산 설계 항목을 충족시키는

암호화 알고리즘이나 암호키를 사용한다.

 

웹 애플리케이션 설계 시 클라이언트에서 서버로 전달되는 데이터(hidden 필드, Ajax변수, 쿠키,헤더 등) 또는

서버에서 클라이언트로 전달되는 데이터(http 응답 헤더 등)중 불필요하게 많은 데이터가 포함되어 전송되지 않도록 설계한다.

 

b.     쿠키에 포함되는 중요정보는 암호화해서 전송해야 한다.

-       쿠키에는 중요정보가 포함되지 않도록 설계해야 하지만 부득이 쿠키에 중요정보가 포함되어야 하는 경우에는 반드시 세션쿠키로

설정되어야 하며 전달되는 중요정보는 반드시 암호화해서 전송되어야 한다.

 

연관된 구현 단계 보안약점 항목

보안 기능

-       암호화 되지 않은 중요 정보