[보안] 짧은 개념, 3대 보안 요소와 잘못된 보안예시

보안 3대 요소

데이터 기밀성Confidentiality, 무결성Integrity, 가용성Avaliability

 

 

잘못된 보안 예시 

• 세션통제 : 불충분한 세션 관리, 잘못된 세션에 의한 정보 노출
• 입력데이터 검증 및 표현 : SQL 삽입, 경로조작 및 자원 삽입, 크로스사이트 스크립팅(XSS)
• 보안기능(인증, 접근제어, 기밀성,암호화) : 인증없는 중요기능 허용, 부적절한 인가 
• 시간 및 상태(병렬처리시스템, 다수의 프로세스가 동작하는 환경에서 시간과 실행상태를 관리해 시스템이 원활히 동작되도록 코딩하는 것) : TOCTOU 경쟁조건, 종료되지 않는 반복문 또는 재귀함수
• 에러처리 : 오류메세지를 통한 정보노출, 오류상황 대응 부재
• 코드오류: Null point 역참조, 부적절한 자원해제
• 캡슐화 : 잘못된 세션에 의한 데이터 정보 노출, 제거되지 않고 남은 디버그코드 등
• API오용 : DNS lookup에 의존한 보안결정, 취약한 API 사용

 

 

 

 

 

REFERENCE

• kisa.or.kr
• http://www.ktword.co.kr/word/abbr_view.php?nav=2&id=431
• https://itwiki.kr/w/DNS_Lookup