1.1 DBMS 조회 및 결과 검증

1.1 DBMS 조회 및 결과 검증

1. 보안약점 항목

• SQL 삽입

2. 설명

• DBMS 조회 시 질의문(SQL) 내 입력값과 그 조회결과에 대한 유효성 검증방법(필터링 등) 설계 및 유효하지 않은 값에 대한 처리 방법 설계

3. 보안대책

• 애플리케이션에서 DB연결을 수행할 때 최소권한의 계정을 사용해야 한다.
• 외부입력값이 삽입되는 SQL쿼리문을 동적으로 생성해서 실행하지 않도록 해야한다.
• 외부입력값을 이용해 동적으로 SQL질의문을 생성해야 하는 경우, 입력값에 대한 검증을 수행한 뒤 사용해야 한다.

4. 진단기준

• 애플리케이션별 DB접속 계정이 할당되고, 각 계정의 권한이 최소권한으로 설정되어 있는가?
• 설정된 사용자 권한 외의 요청에 대해 차단되는지에 대한 테스트 계획이 수립되어 있는가?
•