• Home
  • 회사소개
    • 회사개요
    • 인사말
    • 회사연혁
    • 고객사 레퍼런스
    • 협력사
    • 오시는길
  • 사업소개
    • 시큐어코딩
    • 웹방화벽
    • 컨설팅
  • 제품소개
    • CODE-RAY XG
    • WEBS-RAY V2.5
    • SECUI MF2
    • Secuguard
    • SolidStep
  • 보안소식
    • 보안뉴스
    • 시큐어코딩
    • 모의해킹
    • 취약점 진단
  • 공지사항
    • 공지사항
    • 납품 및 컨설팅 사례
    • 유지보수 사업 현황
    • 채용공고
    • 자료실
  • Home
  • 회사소개
    • 회사개요
    • 인사말
    • 회사연혁
    • 고객사 레퍼런스
    • 협력사
    • 오시는길
  • 사업소개
    • 시큐어코딩
    • 웹방화벽
    • 컨설팅
  • 제품소개
    • CODE-RAY XG
    • WEBS-RAY V2.5
    • SECUI MF2
    • Secuguard
    • SolidStep
  • 보안소식
    • 보안뉴스
    • 시큐어코딩
    • 모의해킹
    • 취약점 진단
  • 공지사항
    • 공지사항
    • 납품 및 컨설팅 사례
    • 유지보수 사업 현황
    • 채용공고
    • 자료실

시큐어코딩

  • home
  • 보안소식
  • 시큐어코딩

38. [코드오류] 부적절한 자원 해제

2019.07.17 15:22

관리자 조회 수:6034

안녕하세요, 정보보안 전문기업 지에스인포입니다.

​

이번에는 행안부 개발보안 가이드라인 47개 항목 중 "코드 오류"의 두 번째 항목인 '부적절한 자원 해제'에 대해 알아보겠습니다.


분석 및 설계 단계 보안 요구항목과 구현 단계 47개 보안약점 기준

- 소프트웨어 개발보안 가이드 (행정안전부 / 한국인터넷진흥원)

​

# 부적절한 자원 해제 : 사용된 자원을 적절히 해제하지 않아 자원 누수가 발생하여 새로운 입력을 처리 할 수 없게 되는 보안 취약점

​

프로그램의 자원, 예를 들면 열린 파일디스크립터(Open File Descriptor), 힙 메모리(Heap Memory), 소켓(Socket)등은 유한한 자원입니다. 이러한 자원을 할당받아 사용하게 되면, 사용 후 반드시 반환 해 주어야 하는데요. 프로그램 오류 또는 에러로 사용이 끝난 자원을 반환하지 못하게 되면 프로그램이 새로운 입력을 처리 할 수가 없는 문제가 생길 수 있습니다.

​

이를 방지하기 위해서는 자원을 획득하여 사용한 후 반드시 해제 해 주는 작업을 해야 하는데요.

​

코드예제와 함께 보시겠습니다!

​

'부적절한 자원 해제' 항목의 안전한 예 (JAVA)

- 소프트웨어 개발보안 가이드 (행정안전부 / 한국인터넷진흥원)


위 사례에서는 try 구문 내에서 에러가 발생 할 경우, close() 메서드가 실행되지 못합니다. 그렇게 되면 호출하여 사용한 PrinterWriter out의 자원을 반환할 수 없게 되는 것이죠.

​

'부적절한 자원 해제' 항목의 안전한 예 (JAVA)

- 소프트웨어 개발보안 가이드 (행정안전부 / 한국인터넷진흥원)



따라서 위처럼 예외의 발생 여부와 상관 없이 할당받은 자원을 finally 블록에서 반환하여 사용한 자원은 반드시 반환되도록 프로그램을 설계 해 주어야 합니다.

​

사소 해 보이지만 소스코드의 이러한 설계들 하나하나가 나중에 가면 정말 큰 문제를 방지 할 수도 있다는 점! 모두 상기하면서 오늘도 즐거운 코딩 라이프 되어보아요~

​

다음에도 유익한 소식으로 찾아뵙겠습니다. 감사합니다.

​

이 게시물을
  • Twitter
  • Me2day
  • Facebook
  • Delicious
목록

엮인글 0

http://gsinfo.kr/xe/SecureCoding_Board/1669/fff/trackback

댓글 0

목록
번호 제목 글쓴이 날짜 조회 수
42 42. [캡슐화] 제거되지 않고 남은 디버그 코드 file 관리자 2020.09.28 3776
41 41. [캡슐화] 잘못된 세션에 의한 데이터 정보노출 file 관리자 2019.12.30 6243
40 40. [코드오류] 초기화되지 않은 변수 사용 관리자 2019.08.08 7656
39 39. [코드오류] 해제 된 자원 사용 관리자 2019.07.24 5864
» 38. [코드오류] 부적절한 자원 해제 관리자 2019.07.17 6034
37 37. [코드오류] Null Pointer 역참조 관리자 2019.07.17 8166
36 36. [에러처리] 부적절한 예외 처리 관리자 2019.07.12 6755
35 35. [에러처리] 오류 상황 대응 부재 관리자 2019.07.11 5859
34 34. [에러처리] 오류메시지를 통한 정보노출 관리자 2019.07.09 7535
33 33. [시간 및 상태] 종료되지 않은 반복문 재귀함수 관리자 2019.07.05 6630
32 32. [시간 및 상태] 검사시점과 사용시점 관리자 2019.07.01 5695
31 31. [보안 기능] 반복된 인증시도 제한 기능 부재 관리자 2019.06.24 5571
30 30. [보안 기능] 무결성 검사 없는 코드 다운로드 관리자 2019.06.24 5680
29 29. [보안 기능] 솔트 없이 일방향 해시함수 사용 관리자 2019.06.17 6642
28 28. [보안 기능] 주석문 안에 포함된 시스템 주요정보 관리자 2019.06.11 5575
27 27. [보안 기능] 사용자의 하드디스크에 저장되는 쿠키를 통한 정보노출 관리자 2019.06.04 5734
26 26. [보안 기능] 취약한 비밀번호 허용 관리자 2019.06.04 8370
25 25. [보안 기능] 하드코드 된 암호화 키 관리자 2019.05.28 6689
24 24. [보안 기능] 적절하지 않은 난수값 사용 관리자 2019.05.28 7124
23 23. [보안 기능] 충분하지 않은 키 길이 사용 관리자 2019.05.07 5579
첫 페이지 1 2 3 끝 페이지
쓰기
태그
보안소식
  • 보안뉴스
  • 시큐어코딩
  • 모의해킹
  • 취약점 진단
nextep banner

어플리케이션 소스코드 취약점 점검도구, CODE-RAY XG를 통해 개발 단계에서부터 소스코드의 잠재적인 취약점이 없는 건강한 소프트웨어를 구현할 수 있습니다.
웹 / 소스코드 / 서버 인프라 등 다양한 시스템의 취약점을 사전에 점검하여 여러가지 상황에서의 보안사고를 예방합니다.
모바일 시스템에 대하여 해킹에 취약한 근본적인 문제를 점검하고, 다양한 컴플라이언스를 기반으로 한 최적의 가이드를 제공합니다.
  • Home
  • 회사소개
  • 사업소개
  • 제품소개
  • 보안소식
  • 공지사항
본사주소 : 서울특별시 구로구 디지털로33길 48   COPYRIGHT ⓒ ALL RIGHT RESERVED.

로그인

로그인폼

로그인 유지

로그인
  • 회원가입
  • ID/PW 찾기