RDS 인스턴스가 기본적으로 암호화되지 않습니다. 이로 인해 데이터가 도난 및 무단 액세스에 노출될 수 있습니다.

"Resources": {
    "RDSDBExample": {
        "Type": "AWS::RDS::DBInstance",
        "Properties": {
            "StorageEncrypted": false,
            "DBName": "Test DB",
            "DBInstanceClass": "db.m4.large"
        }
    }
}

기본적으로 Amazon Redshift 클러스터는 암호화되지 않습니다. 그러면 데이터가 무단 액세스 및 도난 위험에 노출됩니다.

예제 1: 다음 템플릿은 암호화가 활성화되지 않은 Redshift 클러스터를 정의합니다.

"Resources": {
    "RedshiftClusterTest": {
        "Type": "AWS::Redshift::Cluster",
        "Properties": {
            "DBName": "mydb",
            "MasterUsername": "master",
            "MasterUserPassword": "masterPass",
            "NodeType": "ds2.xlarge",
            "ClusterType": "single-node",
        }
    }

Amazon S3 버킷이 서버 측 암호화 없이 만들어집니다. 암호화는 적절한 자격 증명이 없는 사람이 데이터를 읽을 수 없도록 하여 데이터 침해를 완화합니다. 이와 같이 미사용 시 암호화는 GDPR, HIPAA 및 PCI와 같은 일부 산업 및 정부 규정 준수 요구 사항을 충족할 수 있는 수단입니다.

기본적으로 SNS 주제는 미사용 시 암호화되지 않습니다. 따라서 권한이 없는 뷰어에게 데이터가 노출될 수 있습니다.

예제 1: 다음 예제 템플릿은 AWS KMS 키 식별자를 정의하지 않아 SNS 주제를 암호화하지 못합니다.

{
    "AWSTemplateFormatVersion": "2010-09-09",
    "Description": "My SNS topic",
    "Resources": {
        "MySNSTopic": {
            "Type": "AWS::SNS::Topic",
            "Properties": {
                "Subscription": [
                    {
                        "Endpoint": "MySNSEndpoint",
                        "Protocol": "sqs"
                    }
                ],
                "TopicName": "MyTopic"
            }
        }
    }
}

터치 ID 기반 인증은 키 집합에 항목을 저장하고 사용자가 나중에 항목을 검색할 때 자신의 지문을 사용해야 하도록 설정함으로써 키 집합 서비스를 사용하여 구현할 수 있습니다. 다음 정책을 사용하여 사용자가 자신의 지문을 사용하여 인증하는 방법을 정의할 수 있습니다.

- kSecAccessControlUserPresence: 터치 ID 또는 암호를 사용한 액세스로 제한합니다. 터치 ID가 사용 가능하거나 등록될 필요가 없습니다. 지문이 추가되거나 제거되더라도 터치 ID로 항목에 액세스할 수 있습니다.
- kSecAccessControlTouchIDAny: 터치 ID를 사용한 액세스를 등록된 모든 지문으로 제한합니다. 지문이 추가되거나 제거될 때 항목이 무효화되지 않습니다.
- kSecAccessControlTouchIDCurrentSet: 터치 ID를 사용한 액세스를 현재 등록된 모든 지문으로 제한합니다. 지문이 추가되거나 제거될 때 항목이 무효화됩니다.

터치 ID를 사용할 때는 kSecAccessControlTouchIDCurrentSet 특성을 사용하여 향후 지문 추가 또는 제거로부터 보호해야 합니다.

예제 1: 다음 코드에서는 향후 등록되는 모든 지문이 키 집합 항목을 잠금 해제할 수 있도록 허용하는 kSecAccessControlTouchIDAny 제약 조건을 사용합니다.

    ...
    SecAccessControlRef sacRef = SecAccessControlCreateWithFlags(kCFAllocatorDefault,
                 kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly,
                 kSecAccessControlTouchIDCurrentSet, 
                 nil);
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:account forKey:(__bridge id)kSecAttrAccount];
    [dict setObject:service forKey:(__bridge id) kSecAttrService];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...
    [dict setObject:sacRef forKey:(__bridge id)kSecAttrAccessControl];
    [dict setObject:@"Please authenticate using the Touch ID sensor." forKey:(__bridge id)kSecUseOperationPrompt];

    dispatch_async(dispatch_get_global_queue(DISPATCH_QUEUE_PRIORITY_DEFAULT, 0), ^{
        OSStatus status = SecItemAdd((__bridge CFDictionaryRef)dict, nil);
    });
    ...

디버깅 또는 테스트 목적을 위한 변수 값을 배포된 응용 프로그램에 제공되거나 활성 상태로 유지되지 않는 코드와 함께 출력하는 것은 일반적인 관행입니다. 이러한 유형의 디버그 코드가 실수로 응용 프로그램에 남아 있게 되면 해당 응용 프로그램은 예기치 않은 방식으로 공격자에게 정보를 제공할 수 있습니다. 모든 디버깅 문이 민감한 정보 또는 개인 정보를 누출하는 것은 아닙니다. 하지만 디버깅 문이 있으면 주변의 코드가 무시되어 복구할 수 없는 상태가 되는 경우가 많습니다.

ColdFusion에서 실수로 남겨둔 디버그 코드의 가장 일반적인 예는 <cfdump> 태그입니다. 제품 개발 중에는 <cfdump>의 사용이 허용되더라도 운영 웹 응용 프로그램에 속한 코드를 담당하는 개발자는 <cfdump> 태그의 사용을 허용할지 여부를 신중하게 고려해야 합니다.

응용 프로그램의 상태가 다음과 같은 경우 cross-frame scripting 취약점이 발생합니다.

1. iframe 내에서 포함되도록 되어 있는 경우
2. X-Frame-Options 헤더를 통해 프레이밍 정책을 지정하지 못하는 경우
3. JavaScript 기반 프레임 버스팅 로직 같은 열악한 보호 수준을 사용하는 경우

Cross-Frame Scripting 취약점은 공격자가 Cross-Site Request Forgery 공격이나 피싱 공격을 수행하는 데 사용할 수 있는 클릭재킹(Clickjacking) 익스플로이트의 토대 역할을 하는 경우가 많습니다.