35. [에러처리] 오류 상황 대응 부재

안녕하세요 지에스인포입니다.

​

오늘은 '오류 상황 대응 부재' 항목에 대해 알아보겠습니다.

​

# 오류 상황 대응 부재 : 오류가 발생 할 수 있는 부분에 대해 예외처리를 하지 않아, 공격자가 오류상황을 악용하여 공격할 수 있는 보안취약점

​

프로그램을 설계 할 때 오류 상황에 대한 대비는 반드시 필요합니다. 만약 오류 상황이 일어날 것이라는 것이 예측되는데도 그에 대한 적절한 대응 로직을 설계하지 않으면 오류상황을 이용해 공격자가 프로그램을 의도하지 않은 방향으로 동작하게 만들 수 있습니다.

​

따라서 오류가 발생 할 수 있는 부분에 대하여 제어문을 사용하여 적절하게 예외 처리(C/C++에서 if와 switch, Java에서 try-catch 등)를 해야 합니다.

​

소스코드 예제와 함께 보시겠습니다.

​

위 소스코드에서는 오류 상황에 대해 try 블록에서 포착(catch)하고 있지만, 정작 catch 구문에서 아무런 조치를 하고 있지 않습니다. 따라서 오류상황이 발생되어도 프로그램이 계속 실행되고 인증이 된 것으로 처리가 되게 되는데요. 이렇게 되면 프로그램에서 어떤 일이 일어나고 있는지를 전혀 알 수 없게 됩니다.

​

​

따라서 위와 같이 예외상황을 포착(catch)한 후, 각각의 예외 상황(Exception)에 대하여 적절하게 처리를 해 주어야 하겠습니다.

​

오늘은 '오류 상황 대응 부재' 항목에 대해 알아보았습니다.

​

다음에는 새로운 보안소식으로 찾아뵙겠습니다.