기법 구성
| 입력 데이터 검증 및 표현 | 프로그램 입력값에 대한 검증 누락/부적절한 검증, 데이터의 잘못된 형식지정으로 인해 발생할 수 있는 보안 약점 SQL 삽입, 자원 삽입, 크로스사이트 스크립트 등 26개 | | --- | --- | | 보안 기능 | 보안기능(인증, 접근제어, 기밀성, 암호화, 권한관리 등)을 적정하지 않게 구현 시 발생할 수 있는 보안 약점 부적절한 인가, 중요 정보 평군 저장(또는 전송) 등 24개 | | 시간 및 상태 | 동시 또는 거의 동시 수행을 지원하는 병렬 시스템, 하나 이상의 프로세스가 동작하는 환경에서 시간 및 상태를 부적절하게 관리하여 발생할 수 있는 보안 약점 경쟁조건, 제어문을 사용하지 않는 재귀함수 등 7개 | | 에러 처리 | 에러를 처리하지 않거나, 불충분하게 처리하여 에러정보에 중요정보(시스템 등)가 포함될 때 발생할 수 있는 보안약점 취약한 패스원드 요구조건, 오류메세지를 통한 정보노출 등 4개 | | 코드 오류 | 타입 변환 오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범할 수 있는 코딩오류로 유발되는 보안약점 널 포인트 역참조, 부적절한 자원 해제 등 7개 | | 캡슐화 | 중요한 데이터 또는 기능성을 불충분하게 캡슐화하여, 비인가 사용자에게 데이터 누출이 가능해지는 보안 약점 제거되지 않고 남은 디버그 코드, 시스템 데이터 정보 노출 등 8개 | | API 오용 | 의도된 사용에 반하는 방법으로 API를 사용하거나, 보안에 취약한 API를 사용하여 발생할 수 있는 보안 약점 DNS LookUp에 의존한 보안결정, 널 매개변수 미조사 등 7개 |