가끔 일을 하다보면 현실과 이상이 좀 다른 경우가 있습니다.
예를들면 입력값 검증을 하는데 특수문자 하나 빠져서 당장 큰일이 일어날것처럼 말하는 사람도 있죠
오늘 말하는것도 비슷한 맥락입니다
c나 자바에서 랜덤함수를 사용할때 그냥 쓰는 사람이 있고 salt를 추가해서 하시는분이 있는데 seed 값으로 시스템시간을 이용하는 경우가 엄청 많습니다
그래서 취약하다고 하는분들이 많은데 이 함수가 사용되는 포인트를 고려하면 세션을 발급하거나 otp 번호 생성 등 다양한 경우가 있겠지요
그런데 실제 운영서버에서는 생길일이 거의 없다는거죠
정말 만에 하나가 아니라 수십만에 하나? 그런데 시큐어코딩이나 보안성심의를 하는 업체들은 멀티로그인도 체크를 하고 있죠 또 다른 항목에서 점검하는 내용이 있어 테스트 서버가 아닌 이상은 안될 가능성이 많죠
그래도 좋은게 좋은거라면 kisa나 csprng에서 권고하는 방식으로 만들면 됩니다 csprng에는 good practise를 알려주네요
결론이라면 시큐어 랜덤함수를 사용할수는 있지만 꼭 해야하나 라는 생각이 들고, 한국에서는 십만에 하나든 수천만에 하나든 책임소지가 생길 수 있다는 압박이 엄청나니 이왕이면 하는게 낫지 않을까 생각되네요
'Security' 카테고리의 다른 글
| Let’s bypass the ios app wifi with Frida. (0) | 2018.07.15 |
|---|---|
| Latest .NET Vulnerability Summary (0) | 2018.07.14 |
| 금융위 취약점 분석 평가 웹 모바일 항목 사견 (0) | 2017.04.08 |
| 전자감독규정.. (0) | 2017.04.07 |
| 프로젝트 관리 공정률 (0) | 2017.04.06 |
