소스코드 보안약점 진단

소스코드 보안약점 진단 소개
(주)케이씨에이는 고객의 중요 정보자산을 보호하기 위하여 그 동안 쌓아온 KCA의 정보보안 컨설팅 노하우를 바탕으로 고객의 웹 정보시스템을 사전에 철저히 진단하고 평가하여 노출된 취약점에 대한 종합적인 대책 및 개선책을 제시하여 드립니다.
소스코드 보안약점 진단 개요
소프트웨어 결함, 오류 등의 잠재적 취약점을 코딩 단계에서 발견하여 제거함으로써 해킹 등 사이버공격을 유발할 가능성을 사전에 제거할 수 있도록 지원하는 컨설팅 서비스입니다.

소스코드 취약점 해결의 중요성
전체 해킹공격의 75%는 소스코드 보안취약점에 기인한 7계층 웹 애플리케이션에 대한 공격에 해당됩니다.

소스코드 보안약점 진단 세부항목
행정자치부 SW 보안 약점 기준(47개) 중심으로 자동화도구와 육안검사를 통해 소스코드 보안성을 진단합니다.
진단지표 진단기준 진단방법
입력데이터 검증 및 표현 SQL 삽입 자동화 점검도구 및 육안점검
경로조작 및 자원삽입
크로스사이트 스크립트
운영체제 명령어 삽입
위험한 형식 파일 업로드
신뢰되지 않는 URL 주소로 자동접속 연결
XQuery 삽입
XPath 삽입
LDAP 삽입
크로스사이트 요청 위조
HTTP 응답분할
정수형 오버플로우
보안기능 결정에 사용되는 부적절한 입력값
메모리 버퍼오버플로우
포맷스트링 삽입
보안기능 적절한 인증 없는 중요기능 허용
부적절한 인가
중요한 자원에 대한 잘못된 권한설정
취약한 암호화 알고리즘 사용
중요정보 평문저장
중요정보 평문전송
하드코드된 패스워드
충분하지 않은 키 길이 사용
적절하지 않은 난수 값 사용
하드코드된 암호화 키
취약한 패스워드 허용
사용자 하드디스크에 저장되는 쿠키를 통한 정보노출
주석문 안에 포함된 시스템 주요정보
솔트 없이 일방향 해쉬 함수 사용
무결성 검사 없는 코드 다운로드
반복된 인증시도 제한 기능 부재
시간 및 상태 경쟁조건: 검사시점과사용시점(TOCTOU)
종료되지 않는 반복문 또는 재귀함수
에러 처리 오류메시지를 통한 정보노출(TOCTOU)
오류상황 대응 부재
부적절한 예외처리
에러 처리 널(Null) 포인터 역참조
부적절한 자원 해제
해제된 자원 사용
초기화되지 않은 변수 사용
캡슐화 잘못된 세션에 의한 데이터 정보 노출
제거되지 않고 남은 디버그 코드
시스템 데이터 정보노출
Public 메소드부터 반환된 Private 배열
Private 배열에 Public 데이터 할당
API 오용 DNS lookup에 의존한 보안결정
취약한 API 사용
기대효과
소스코드 취약점 제거(시큐어코딩)를 통해 어플리케이션의 보안약점을 근본적으로 해결하면 다양한 해킹공격이 차단될 수 있습니다.