01. 버퍼오버플로우

취약점 소개

---

버퍼 데이터를 사용하는 소프트웨어에 버퍼 블록 크기보다 더 많은 데이터를 넣음으로써 결함을 발생시키는 취약점

(버퍼의 용량이 초과되어 메모리 위치 덮어써져 할당된 데이터 보다 많은 데이터가 쓰이거나 이로인해 에러가 발생)

 

판단 기준

---

파라미터 값에 대한 검증 미흡으로 에러 페이지나 오류가 발생하는 경우

(C언어, 버퍼초과, 메모리 이상 사용, ...)

 

점검 사례

---

- 로그인 페이지에서 계저 정보 입력 시 대량의 문자열 입력하여 에러페이지나 오류가 발생하는지 점검

- 로그인 후 정보 변경 페이지에서 가입 정보 수정 시 대량의 문자열을 입력하여 에러 페이지나 오류가 발생하는지 점검

- 검색어 입력 시, URL 파라미터 값에 입력 시(대량의 문자열)

 

보안 설정

---

- 웹 애플리케이션에 전달되는 파라미터 값을 필요한 크기만큼 받을 수 있도록 변경하고, 값 범위 초과시에도 에러 페이지가 반환되지 않도록 적용

- 동적 메모리 할당을 위해 크게 사용하는 경우 그 값이 음수가 아닌지 확인하는 버퍼 오버플로우 예방하는 형태 소스코드로 변경(stcpy, strcat... 대신 strncpy, strncat, ... 사용 필요)