외부 입력값을 검증하지 않고 시스템 자원에 대한 식별자로 사용하는 경우, 공격자는 입력값 조작을 통해
시스템이 보호하는 자원에 임의로 접근하거나 수정할 수 있다.
📌 안전한 코딩 기법
- 외부의 입력을 자원( 파일, 소켓의 포트 등 ) 식별자로 사용하는 경우, 적절한 검증을 거치도록 하거나 사전에 정의된 적합한 리스트에서 선택되도록 작성한다. 외부의 입력이 파일명인 경우에는 경로 순회를 수행할 수 있는 문자를 제거한다.
'IT' 카테고리의 다른 글
| [IT] 운영체제 명령어 삽입 ( OS Command Injection ) (0) | 2025.04.01 |
|---|---|
| [IT] 크로스사이트 스크립트 (0) | 2025.04.01 |
| [IT] SQL 삽입 ( SQL Injection ) (0) | 2025.04.01 |
| [IT] 레이턴시 ( Latency ) (2) | 2024.10.24 |
| [IT] 빅 엔디안, 리틀 엔디안 ( 바이트 저장 순서 ) (1) | 2024.10.21 |