[Secure] API 오용 보안약점

 API 오용 보안약점

의도된 사용에 반하는 방법으로 API를 사용하거나, 보안에 취약한 API를 사용하여 발생할 수 있는 보안 약점

 

 

* DNS lookup 에 의존한 보안결정

1. 원인

• 도메인명에 의존해서 보안결정(인증 및 접근 통제 등)을 수행하는 경우

2. 영향

• 공격자가 DNS 엔트리를 속일 수 있음(DNS spoofing)
• 로컬 DNS 서버의 캐시가 공격자에 의해 오염되면, 사용자와 특정 서버간에 네트워크 트래픽이 공격자를 경유하도록 유도
• 공격자가 마치 동일 도메인에 속한 서버인 것 처럼 위장 (파밍)

3. 대응

• 보안결정에서 도메인명을 이용한 DNS lookup을 하지 않도록 조치

 

 

* 취약한 API 사용

1. 원인

• 보안상 금지된(banned) 함수이거나, 부주의하게 사용될 가능성이 많은 API를 사용하는 경우 발생

2. 영향

• J2EE 애플리케이션이 컨테이너에서 제공하는 자원연결관리를 사용하지 않고 직접 제작하는 경우, 에러를 유발할 수 있기 때문에 J2EE 표준에서 금지
• J2EE 애플리케이션이 프레임워크 메소드 호출을 사용하지 않고, 소켓을 직접 사용하는 경우 채널보안, 에러 처리, 세션 관리 등 다양한 고려 사항 필요
• J2EE에서 System.exit()의 사용은 컨테이너까지 종료시킴

3. 대응

• J2EE 애플리케이션이 컨테이너에서 제공하는 연결 관리 기능을 사용
• 소켓을 직접 사용하는 대신, 프레임워크에서 제공하는 메소드 호출을 사용
• J2EE 프로그램에서 System.exit()를 사용 금지
• 보안 문제로 인해 금지된 함수는 이를 대체할 수 있는 안전한 함수로 사용