※본 내용은 스스로 공부하며 중요하다고 생각하는 부분만 정리한 내용입니다.
공부 서적(시나공 정보처리기사 필기책)
시나공 정보처리기사 실기
시나공 정보처리기사 실기는 NCS 학습 모듈을 가이드 삼아 자세한 설명과 충분한 예제를 더한 후 교재에 수록된 문제나 이론은 하나도 빼놓지 않고 이 분야에 전혀 기초가 없는 수험생의 눈높이
book.naver.com
출처: 시나공 정보처리기사 실기
저자: 김정준,강윤석,김용갑,김우경
출판사 : 길벗
입력 데이터 검증 및 표현
입력 데이터 검증 및 표현
- 입력 데이터로인해 발생하는 문제들을 예방
- 구현 단계에서 검증해야할 보안 점검 항목
보안 약점
- SQL 삽입 : SQL을 삽입하여 관리자 인증 우회/데이터 유출 및 변조, 필터링 설정으로 방지 가능
- 경로 조작 및 자원 삽입 : 경로 조작하여 서버 자원 수정 및 삭제, 필터를 사용하여 방지 가능
- 크로스사이트 스크립팅(XSS) : 악의적 스크립트 삽입하여 정보 탈취 및 비정상적 기능 수행 유발, HTML태그 사용 제한 및 스크립트 사용되는 문자 다른 문자로 치환하여 방지 가능
- 운영체제 명령어 삽입 : 시스템 명령어 삽입으로 권한 탈취 및 시스템 장애 유발, 검증 없이 내부 명령어 사용하지 않음으로 방지 가능
- 위험한 형식 파일 업로드 : 악의적 명령어 포함된 스크립트 파일 업로드로 시스템 손상 및 시스템 제어, 확장자 제한/파일명 암호화/실행 속성 제거 등의 방법으로 방지 가능
- 신뢰되지 않는 URL주소로 자동접속 연결 : 방문자를 피싱 사이트로 유도, 화이트 리스트 관리로 방지 가능
- 메모리 버퍼 오버플로 : 할당된 메모리 범위 넘어선 위치 자료 읽거나 쓰려고 할 때 발생, 적절한 버퍼 크기 설정 및 설정된 범위 내에 올바르게 읽거나 쓸 수 있도록 함으로 방지 가능
'정보처리기사' 카테고리의 다른 글
| 정보처리기사 실기(소프트웨어 개발 보안 구축) 시간 및 상태 (0) | 2022.04.07 |
|---|---|
| 정보처리기사 실기(소프트웨어 개발 보안 구축) 보안 기능 (0) | 2022.04.07 |
| 정보처리기사 실기(소프트웨어 개발 보안 구축) 세션 통제 (0) | 2022.04.07 |
| 정보처리기사 실기(소프트웨어 개발 보안 구축) Secure SDLC (0) | 2022.04.07 |
| 정보처리기사 실기(SQL 응용) 쿼리 성능 최적화 (0) | 2022.04.03 |
댓글