외부 입력값을 검증하지 않고 시스템 자원에 대한 식별자로 사용하는 경우, 공격자는 입력값 조작을 통해
시스템이 보호하는 자원에 임의로 접근하거나 수정할 수 있다.

 

📌 안전한 코딩 기법

  • 외부의 입력을 자원( 파일, 소켓의 포트 등 ) 식별자로 사용하는 경우, 적절한 검증을 거치도록 하거나 사전에 정의된 적합한 리스트에서 선택되도록 작성한다. 외부의 입력이 파일명인 경우에는 경로 순회를 수행할 수 있는 문자를 제거한다.

+ Recent posts