본문 바로가기

보안/시큐어코딩

[CERT JAVA 시큐어코딩표준-01] 입력 검증및 데이터 새니타이즈(IDS)

입력데이터에 대한 검증이나 데이터 새니타이즈 부재로 인해 발생될 수 있는 취약점들이다.

IDS00-J.  신뢰경계를 넘어온 데이터는 새니타이즈한다.

IDS01-J.  문자열을 검증하기 전에 정규화 한다.

IDS02-J.  경로이름을 검증하기전에 규범화 한다.

IDS03-J.  새니타이즈하지 않은 사용자 입력은 로그에 남기지 않는다.

IDS04-J.  ZinputStream에 전달된 파일 크기를 제한한다.

IDS05-J.  파일과 경로 이름에 ASCII문자의 일부만 사용한다.

IDS06-J.  포맷문자열에 사용자 입력을 포함하지 않는다.

IDS07-J.  신뢰하지 않고 새니타이즈하지 않은 데이터를 Runtime.exec()메서드에 전달하지 않는다.

IDS08-J.  regex에 전달할 신뢰하지 않는 데이터를 새니타이즈 한다.

IDS09-J.  로케일을 설정하기 전에 로케일에 의존하는 데이터에 로케일에 의존하는 메서드를 사용하지 않는다.

IDS10-J.  두 데이터 구조간에 문자를 분할하지 않는다.

IDS11-J.  검증하기 전에 비문자 코드를 제거한다.

IDS12-J.  인코딩을 변경할 때 문자열 데이터를 무손실 변환한다.

IDS13-J.  파일이나 네트워크에 입출력할 때 양단에 호환되는 인코딩을 사용한다.




작성중.....