C 시큐어코딩 가이드

제1장 개요
01 제1절 배경
02 제2절 가이드 목적 및 구성

제2장 시큐어코딩 가이드
03 제1절 입력데이터 검증 및 표현
1. SQL 삽입3
2. 자원 삽입8
3. 크로스사이트 스크립트10
4. 운영체제 명령어 삽입15
5. LDAP 삽입19
6. 디렉터리 경로조작21
7. 정수 오버플로우29
8. 보호 메커니즘을 우회할 수 있는 입력값 변조33
9.스택에 할당된 버퍼 오버플로우40
10. 힙에 할달된 버퍼 오버플로우44
11.LDAP 처리48
12. 시스템 또는 구성 설정의 외부 제어50
13. 프로세스 제어53
14. 버퍼 시작지점 이전에 쓰기57
15. 범위 초과해서 읽기59
16. 검사되지 않은 배열 인덱싱61
17. 널 종료 문제65
18. 의도하지 않은 부호 확장69
19. 무부호 정수를 부호정수로 타입변환오류73

제 2절 보안기능
1. 부적절한 인가77
2. 중요한 자원에 대한 잘못된 권한허용82
3. 취약한 암호와 알고리즘 사용84
4. 사용자 중요정보 평문저장(또는 전송)87
5. 하드코드된 패스워드93
6. 충분하지 않은 키 길이 사용96
7. 적절하지 않은 난수 값의 사용99
8. 패스워드 평문저장102
9. 하드코드된 암호화 키107
10. 주석문안에 포함된 패스워드 등 시스템 주요정보111
11. 솔트없이 일방향 해쉬 함수사용114
12. 하드코드된 사용자 계정120
13. 잘못된 권한 부영124
14. 최소 권한 적용 위배128
15. 취약한 암호화: 적절하지 못한 RSA패딩132
16. 취약한 암호화 해쉬함수: 하드코드된 솔트134
17. 같은 포트번호로의 다중연결138

140 제3절 시간 및 상태
1. 경쟁조건: 검사시점과 사용시점140
2. 제대로 제어되지 않은 재귀147
3. 심볼릭명이 정확한 대상에 매핑되어 있지않음149

152 제4절 에러 처리
1. 오류 메시지 통한 정보 노출152
2. 오류상황 대응 부재156
3. 적절하지 않은 예외처리159

제5절 코드 오류
1. 널(Null)포인터 역참조
2. 부적절한 자원 해제
3. 부호 정수를 무부호 정수로 타입 변환 오류
4. 정수를 문자로 변환
5. 스택 변수 주소 리턴
6. 매크로의 잘못된 사용
7. 코드정확성 : 스택 주소 해제
8. 코드 정확성: 스레드 조기 종료
9. 무한 자원 할당

제6절 캡슐화
1. 제거되지 않고 남은 디버그 코드
2. 세스템 데이터 정보노출

제7절 API 오용
1. DNS lookup에 의존한 보안결정
2. 위험하다고 알려진 함수 사용
3. 작업 디렌터리 변경 없는 chroot Jail 생성
4. 오용: 문자열 관리
5. 다중 스레드 프로그램에서 getlogin() 사용

제3장 용어정리 및 참고문헌
제1절 용어정리
제2절 참고문헌