Code Auditing
번역하면 소프트웨어 코드 감사로써 버그, 보안 위반, 프로그래밍 규칙위반을 발견하기 위한
프로그래밍 프로젝트의 소스코드에 대한 포괄적인 분석을 말합니다.
이는 스포트웨어 출시전 오류를 줄이기 위해 필수적인 부분으로 C, C++,Python 같은 고급 언어의 잠재적
취약기능을 감사하기 위해 사용하고 있습니다.
뿐만 아니라 이러한 감사는 코드에서 취약점을 미리 찾아 공격을 예방하는데 도움이 되며 감사는
팀 단위로 하기에 팀 구성원 간의 프로그래밍 기술을 공유하고 표준과 디자인 및 구현등의 향상으로 이어지기에
필수적인 부분이라고 볼 수 있습니다.
감사시 확인해야 할 순서는 먼저 위험도순으로 높은 취약점부터 낮은 취약점을 찾는 것이 좋으며
가장 일반적인 취약점 몇가지를 보자면
입력 유효성검사(SQL인젝션), 타사 라이브러리, 약한 암호화, SSL/TLS버전 확인, 규정준수 등이 있습니다.
감사시에는 정적분석, 동적분석모두 해야하며 이를 활용한 테스트 도구들은 많이 발전해
많은 도구들이 있으므로 아래 참조 자료를 첨부하며 정리를 마칩니다.
Reference
'Reference > Pwnable_Study' 카테고리의 다른 글
| RELRO 과 Hook Overwrite, PIE (0) | 2023.01.01 |
|---|---|
| fork()와 exev() (0) | 2022.10.13 |
| 환경변수(environ) (0) | 2022.10.13 |
| NOP Sled(NOP Slide) (0) | 2022.09.30 |
| Mprotect - ROP (0) | 2022.09.30 |