[NCS 서술형] 소프트웨어 개발 보안 구축 - 1

NCS essay question
NCS 서술형 풀이

• 과정명 : 정보보안전문가양성-침해대응
• 교과목 : 파이썬을 이용한 개발 보안 구축 및 시큐어 코딩
• 능력단위명
  • 소프트웨어 개발 보안 구축(LM2001020611_18v4)

---

1. 소프트웨어 공격 유형을 쓰시오.
   1. XSS Cross-site scripting 
      => 애플리케이션이 입력물/출력물 검증 부족으로 인해 클라이언트 쪽의 악성 코드 인젝션 (injection)이 일어나기 쉬운 사용자가 수정 가능한 파라미터를 포함하고 있는지 여부에 대해 검토한다
   2. 인젝션(Injection)
      => 애플리케이션이 의도하지 않은 명령어를 수행하거나 허용되지 않은 데이터를 접근하 도록 조작하는 악성 문구를 주입하는 공격에 대해 모듈을 보호하도록 애플리케이션이 클라이언트 입력 파라미터를 검증하는지 여부를 검토한다.
   3. 불안전한 직접적인 객체 참조
      => 애플리케이션이 URL이나 형상(form) 파라미터로서 파일, 디렉토리, 데이터베이스 기록, 키 등의 내부 이행 객체에 대한 참조를 안전하지 않은 방법으로 제공하는지 여부를 검토한다.
   4. 불안전한 암호 저장
      => 클라이언트 쪽 애플릿과 HTML 소스 코드와 같은 공개적으로 접속 가능한 정보에서 회수할 수 있는 민감한 암호화 상세 정보 (암호화 알고리즘, 암호화 키 등)를 애플리케 이션이 제공하는지 여부를 검토한다.
   5. URL 접근 제한 실패
      => 애플리케이션이 모호한 URL(obscurity)이나 위장술(obfuscation)을 기반으로 기능을 제 한하는지의 여부를 검토한다
   6. 취약한 인증 및 세션 관리
      => 인증 사용자의 ID를 추정할 수 있도록 인증과 세션 관리를 침해하는 공격 리스크를 최 소화할 수 있도록 인증 및 적절한 세션 관리를 올바르게 이행했는지 여부를 검토한다.
   7. 사이트 간 요청 위조(CSRF : Cross-site request forgery)
      => 특정 액션의 상세 사항을 예측하여 애플리케이션에 악의적인 요청을 위조하는 공격이 허용될 수 있는 예측 가능한 파라미터가 애플리케이션에 포함되어 있는지 여부를 검토한다.
   8. 잘못된 보안 설정
      => 시스템 데이터 및 기능에 허가를 받지 않고 접근하여 시스템 전체가 침해되는 결과를 가져오는 공격을 방지할 수 있도록 애플리케이션이 적절히 설정되어 있는지 여부를 검토한다.
   9. 불충분한 전송 레이어 보호
      => 네트워크를 통해 전송되는 애플리케이션 데이터가 허용되지 않은 가로채기 (interception) 및 Man-in-the middle 공격을 방지할 수 있도록 적절히 안전한지 여부를 검토한다.
   10. 검증되지 않은 리디렉터링(redirects) 및 포워드(forward)
       => 사용자가 악성 웹 사이트로 리디렉팅 되는 것을 방지할 수 있도록 애플리케이션 페이 지 리디렉션 및 포워드를 검증할 수 있도록 통제를 이행했는지의 여부를 검토한다.
   11. 애플리케이션 로직 결함
       => 의도한 목적의 애플리케이션 로직이 악용되어 워크플로우나 정보를 변환, 혹은 우회하 거나, 조작하는 결과를 가져올 수 있는지 여부를 검토한다.
   12. 인증 우회
       => 애플리케이션을 악용하여 보안 통제를 우회해 내부 애플리케이션 기능에 직접적으로 접근하는 공격을 허용할 수 있는지 여부를 검토한다.
   13. 권한부여(Authorization) 우회
       => 권한 부여 메커니즘을 악용하여 악의적인 사용자가 특권을 강화해서 애플리케이션 기 능이나 사용자의 민감한 데이터에 비인가 접근을 허용할 수 있는지 여부를 검토한다.