시큐어코딩
- home
- 보안소식
- 시큐어코딩
08. [입력 데이터 검증 및 표현] Xpath 삽입
2018.05.10 10:34
안녕하세요, 지에스인포입니다.
이번에는 시큐어코딩 항목 중 입력 데이터 검증 및 표현의 8번째 항목인 'XPath 삽입'에 대해서 알아보겠습니다.
XPath 삽입은 행정자치부에서 발표한 '소프트웨어 개발보안 가이드'에 속해있는 주요 항목입니다.
분석, 설계 단계의 보안 요구항목에서는 '입력 데이터 검증 및 표현'의 'XML 조회 및 결과 검증'이라는 항목으로, 구현 단계 보안약점에서는 '입력 데이터 검증 및 표현'의 'XPath 삽입'이라는 이름으로 명시가 되어있습니다.
#XPath 삽입이란?
XPath 삽입이란, 외부 입력 값을 적절한 검사 과정 없이 XPath 쿼리문 생성을 위한 문자열로 사용할 때 발생하는 보안약점입니다. 공격자는 프로그래머가 의도하지 않았던 문자열을 전달하여 쿼리문의 의미를 왜곡시키거나 그 구조를 변경하고 임의의 쿼리를 실행하여 인가되지 않은 데이터를 열람할 수 있습니다.
예를 들어 살펴보겠습니다.
#XPath 삽입을 막기 위한 보안 대책은?
XPath 삽입을 막기 위한 보안 대책은 소프트웨어 개발 주기에 따라 크게 두 가지로 나눌 수 있습니다.
소프트웨어 개발보안 가이드에서 제시하는 "XPath 삽입"에 대한 보안대책은 위와 같으며, 각각의 상황에 맞게 적절히 사용하기를 권장하고 있습니다.
오늘은 "XPath 삽입"에 대해 살펴봤습니다.
다음은 시큐어코딩 9번째 항목, LDAP 삽입에 대해 알아보도록 하겠습니다.
댓글 0
본사주소 : 서울특별시 금천구 가산디지털1로 181, 가산더블유센터 1508호 COPYRIGHT ⓒ ALL RIGHT RESERVED.