5-3-3장. 입력 데이터 검증 및 표현 - B

입력 데이터 검증 및 표현은 입력 데이터로 인해 발생하는 문제들을 예방하기 위해 구현 단계에서 검증해야 하는 보안 점검 항목들이다.

 

• 입력 데이터로 인해 발생하는 문제를 예방하기 위해서는 소프트웨어 개발의 구현단계에서 유효성 검증 체계를 갖추고, 검증되지 않은 데이터가 입력되는 경우 이를 처리할 수 있도록 구현해야 한다.

• 입력 데이터를 처리하는 객체에 지정된 자료형이 올바른지 확인하고, 일관된 언어셋(유니코드, 아스키 등)을 사용하도록 코딩한다.

입력 데이터 검증 및 표현의 보안 약점

입력 데이터 검증 및 표현과 관련된 점검을 수행하지 않은 경우 SQL 삽입, 자원 삽입, 크로스사이트 스크립팅(XSS), 운영체제 명령어 삽입 등의 공격에 취약해진다.

 

보안 약점의 종류

• SQL 삽입 : 입력란에 SQL을 삽입해 무단으로 DB를 조회하거나 조작하는 보안 약점이다.

• 경로 조작 및 자원 삽입 : 데이터 입출력 경로를 조작하여 서버 자원을 수정, 삭제할 수 있는 보안 약점이다. 

• 크로스사이트 스크립팅(XSS) : 웹페이지에 악의적인 스크립트를 삽입하여 방문자들의 정보를 탈취하거나, 비정상적인 기능 수행을 유발하는 보안 약점이다.

• 운영체제 명령어 삽입 : 외부 입력값을 통해 시스템 명령어의 실행을 유도함으로써 권한을 탈취하거나 시스템 장애를 유발하는 보안 약점이다. 

• 위험한 형식 파일 업로드 : 악의적인 명령어가 포함된 스크립트 파일을 업로드함으로써 시스템에 손상을 주거나, 시스템을 제어할 수 있는 보안 약점이다. 

• 신뢰되지 않는 url 주소로 자동접속 연결 : 입력 값으로 사이트 주소를 받는 경우 이를 조작하여 방문자를 피싱 사이트로 유도하는 보안 약점이다.