보안기능

보안약점	설명
2.1 적절한 인증없는 중요 기능 허용	적절한 인증 없이 중요정보(금융정보, 개인정보, 인증정보 등)를 열람(또는 변경)할 수 있게 하는 보안약점 =>최소권한 할당, R,W,E
2.2 부적절한 인가	적절한 접근제어 없이 외부입력값을 포함한 문자열로 중요자원에 접근할 수 있는 보안약점 => DES, MD5 보다는 AES, SHA 사용
2.3 중요한 자원에 대한 잘못된 권한 설정	중요자원(프로그램 설정, 민감한 사용자 데이터 등)에 대한 적절한 접근권한을 부여하지 않아, 인가되지 않은 사용자 등에 의해 중요정보가 노출·수정되는 보안약점
2.4 취약한 암호화 알고리즘 사용	중요정보(금융정보, 개인정보, 인증정보 등)의 기밀성을 보장할 수 없는 취약 한 암호화 알고리즘을 사용하여 정보가 노출될 수 있는 보안약점
2.5 중요정보 평문 저장	중요정보(비밀번호, 개인정보 등)를 암호화하여 저장하지 않아 정보가 노출될 수 있는 보안약점 =>중요정보는 암호화해서 저장
2.6 중요정보 평문전송	중요정보(비밀번호, 개인정보 등) 전송시 암호화하지 않거나 안전한 통신채널 을 이용하지 않아 정보가 노출될 수 있는 보안약점 =>중요정보는 암호화해서 전송. SSL, HTTPS 사용.
2.7 하드코드된 비밀번호	소스코드 내에 비밀번호가 하드코딩 되어 소스코드 유출시 노출 우려 및 주기적 변경 등 수정(관리자 변경 등)이 용이하지 않는 보안약점 =>코드에 패스워드 작성 금지,
2.8 충분하지 않은 키 길이 사용	데이터의 기밀성, 무결성 보장을 위해 사용되는 키의 길이가 충분하지 않아 기밀정보 누출, 무결성이 깨지는 보안약점 =>RSA는 2048 비트 이상
2.9 적절하지 않은 난수값 사용	예측 가능한 난수사용으로 공격자로 하여금 다음 숫자 등을 예상하여 시스템 공격이 가능한 보안약점 =>Random이 아닌 SecureRandom을 사용
2.10 하드코드된 암호화 키	소스코드 내에 암호화키가 하드코딩 되어 소스코드 유출시 노출 우려 및 키 변경이 용이하지 않는 보안약점 =>암호키는 외부파일에 암호화된 형태로 저장
2.11 취약한 비밀번호 허용	비밀번호 조합규칙(영문, 숫자, 특수문자 등) 미흡 및 길이가 충분하지 않아 노출될 수 있는 보안약점 =>비밀번호 작성규칙 적용(영문+숫자 10자리이상, 영문+숫자+특수문자 8자리 이상)
2.12 사용자 하드디스크 저장되는 쿠키를 통한 정보노출	쿠키(세션 ID, 사용자 권한정보 등 중요정보)를 사용자 하드디스크에 저장함 으로써 개인정보 등 기밀정보가 노출될 수 있는 보안약점 =>쿠키 만료기간 짧게,
2.13 주석문 안에 포함된 시스템 주요정보	소스코드내의 주석문에 인증정보 등 시스템 주요정보가 포함되어 소스코드 유출시 노출될 수 있는 보안약점 =>주석에 비밀번호 등 중요정보 저장금지
2.14 솔트 없이 일방향 해쉬 함수 사용	공격자가 솔트 없이 생성된 해시값을 얻게 된 경우, 미리 계산된 레인보우 테이블 을 이용하여 원문을 찾을 수 있는 보안약점 =>패스워드 저장시 솔트값을 추가한 해쉬값을 저장
2.15 무결성 검사없는 코드 다운로드	원격으로부터 소스코드 또는 실행파일을 무결성 검사 없이 다운로드 받고 이를 실행하는 경우, 공격자가 악의적인 코드를 실행할 수 있는 보안약점 =>서버에서 개인키로 암호화후, 클라에서 공개키로 복호화.
2.16 반복된 인증시도 제한 기능 부재	인증시도의 수를 제한하지 않아 공격자가 무작위 인증시도를 통해 계정접근 권한을 얻을 수 있는 보안약점 =>인증실패시 재시도 시간 지연 또는 재시도 횟수 제한.