6. 중요정보 평문전송
보안정보 하드코딩 하지 말자
9. 적절하지 않은 난수값 사용
의사 난수 사용을 자제
10. 하드코드된 암호화 키
별도 저장
11. 취약한 비밀번호 허용
3가지 종류의 문자 구성 시 8자리 이상
2가지 종류의 문자 구성 시 10자리 이상
한글, 영어 등의 사전적 단어 포함 금지
howsecureismypassword
14. 솔트 없이 일방향 해쉬 함수 사용
해쉬 값을 생성하는 경우 솔트를 적용
암호 + 솔트(사번 etc) 를 해쉬화
15. 무결성 검사 없는 코드 다운로드
해쉬값 첨부 또는 대조 프로세스 필요
16. 반복된 인증시도 제한 기능 부재
인증시도 횟수를 제한 및 제한된 사용자의 경우 시간 간격 설정
- 웹
본인인증 등
- 중요 시스템
계정 잠금
17.
# race condition 주의
##에러 처리
1. 오류 메시지를 통한 정보 노출
stack trace 등 노출 금지.
2. 오류 상황 대응 부재
3.
1. api오용
address는 ip로
2. 취약한 api사용
입력 데이터 검증 및 표현
14. 메모리 버퍼 오버 플로우