Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

No.

행자부 SW 보안약점

FBFSBPMDSQ
1입력데이터 검증 및 표현

SQL 삽입

OO
CWE-89
2

경로 조작 및 자원 삽입

OO
CWE-99
3

크로스사이트 스크립트

OO
CWE-79, RSPEC-5131
4

운영체제 명령어 삽입


O
CWE-78
5
위험한 형식 파일 업로드



CWE-434
6

신뢰되지 않는 URL 주소로 자동접속 연결


O
CWE-601
7

XQuery 삽입




CWE-652
8

XPath 삽입


O
CWE-643
9LDAP 삽입
O
CWE-90
10

크로스사이트 요청 위조




CWE-352

디렉토리 경로 조작


CWE-22(23,36)


11

HTTP 응답분할

OO
CWE-113
12정수형 오버플로우


CWE-190
13

보안기능 결정에 사용되는 부적절한 입력값


O

CWE-807


14메모리 버퍼 오버플로우 (C-Language)
O
CWE-119
15포맷 스트링 삽입


CWE-134
16보안기능적절한 인증 없는 중요기능 허용


CWE-306
17부적절한 인가


CWE-285
18중요한 자원에 대한 잘못된 권한 설정


CWE-732
19취약한 암호화 알고리즘 사용
O
CWE-327
20중요정보 평문저장
O
CWE-312
21취약한 암호화 알고리즘 사용
Ox

22하드코드된 비밀번호OO
CWE-798, CWE-259
23충분하지 않은 키 길이 사용
O
CWE-326, Link
24적절하지 않은 난수값 사용OO
CWE-330
25하드코드된 암호화 키
O
CWE-798,CWE-259
26취약한 비밀번호 허용


CWE-521
27사용자 하드디스크 저장되는 쿠키를 통한 정보노출


CWE-539 (error)
28주석문 안에 포함된 시스템 주요정보


CWE-615


29솔트 없이 일방향 해쉬 함수 사용


CWE-759


30무결성 검사없는 코드 다운로드


CWE-494 (error)


31반복된 인증시도 제한 기능 부재


CWE-307 (error)


32시간 및 상태경쟁조건: 검사시점과 사용시점 (TOCTOU)


CWE-367 (error)


33종료되지 않은 반복문 또는 재귀 함수O

CWE-835 (error)


34에러처리오류 메시지를 통한 정보노출

O

CWE-209 (error)


35오류 상황 대응 부재

O

CWE-390 (error)


36부적절한 예외 처리O
OCWE-754
37코드오류Null Pointer 역참조O
O

CWE-476


38부적절한 자원 해제O
O

CWE-404 (error)


39해제된 자원 사용


CWE-416 (C language)


40초기화되지 않은 변수 사용


CWE-457 (C language)


41캡슐화잘못된 세션에 의한 데이터 정보노출


CWE-488, CWE-543(error)


42제거되지 않고 남은 디버그 코드


CWE-489(error)


43시스템 데이터 정보노출


CWE-497(error)

System.err.print(e.getMessage())
44Public 메소드부터 반환된 Private 배열O
O

CWE-495(error)


45Private 배열에 Public 데이터 할당

O

CWE-496(error)


46API 오용DNS Lookup에 의존한 보안결정


CWE-247(error)


47취약한 API 사용


CWE-676(error)


...