정보처리기사 실기/06. 보안엔지니어링 (3) 썸네일형 리스트형 [2020 정보처리기사 실기 - 소프트웨어 개발 보안 구축] 2. 소프트웨어 개발 보안 구현하기 (1) * 소스코드 구현단계의 보안 약점 유형 - 소스코드 구현단계에서 제거 조치를 해야 하는 보안약점은 SW 개발보안 가이드 기준으로 7개 카테고리에 47개 항목으로 정의 입력데이터 검증 및 표현, 보안기능, 시간 및 상태, 에러처리, 코드오류, 캡슐화, API오용 - 소스코드 구현단계에서 제거 조치 해야하는 47개 보안약점 중 입력값 검증, 보안기능 등 설계단계에서 미리 검토되어야 하고 시간 및 상태 카테고리 등 소스코드 코딩 단계에서만 고려되어야 하는 항목도 있음 * 카테고리별 주요 보안약점 및 조치 방안 1) 입력 데이터 검증 및 표현 (1) SQL 삽입 - 해커가 웹사이트의 입력값이나 URL에 SQL문을 삽입하여 DB로부터 정보를 열람하거나 조작, 파괴할 수 있는 보안약점 - preparedStatem.. [2020 정보처리기사 실기 - 소프트웨어 개발 보안 구축] 1. 소프트웨어 개발 보안 설계하기 (2) * 입력데이터 검증 및 표현 관련 보안 1) DBMS 조회 및 결과 검증 - 애플리케이션의 DB연결 계정에 대해 권한을 최소한으로 부여해야 함 - 외부 입력값을 사용하는 SQL 문 생성시 입력값을 정적 바인딩하거나 불가피하게 동적 바인딩을 해야할 경우 입력값 검증 후 사용 2) 시스템 자원 접근 및 명령어 수행 입력값 검증 - 외부 입력값이 시스템 내부자원을 직접적으로 식별하는데 사용되지 않도록 해야함 - 서버 프로그램 내에서 셸을 생성해서 명령어를 실행할 경우 외부 입력값이 실행명령어로 직접 사용되지 않도록 해야함 3) 웹서비스 요청 및 결과 검증 - 사용자 입력값을 동적 생성 페이지에 사용하는 경우 XSS가 유발하지 않도록 입력값을 검증하고 필터링 - DB에 저장된 값을 조회하여 동적 생성 페이지에 .. [2020 정보처리기사 실기 - 소프트웨어 개발 보안 구축] 1. 소프트웨어 개발 보안 설계하기 (1) * 소프트웨어 개발 보안 1) 소프트웨어의 보안 품질에 영향을 주는 요소 (1) 소프트웨어의 보안 품질에 영향을 주는 요소 - SW 보안 취약점 해킹 등 실제 침해사고에 이용될 수 있는 외부에 노출된 보안 약점 작동하는 시스템을 대상으로 수행하는 동적 검증을 통해 보안 취약점을 확인하는 보안품질 관리활동을 모의해킹이라 함 - SW 보안 약점 보안 취약점의 근본원인이 되는 SW의 결함이나 버그 모든 보안 취약점은 보안약점에 포함됨 SW 보안약점이 존재하지 않도록 개발하는 방법을 개발보안이라고 함 CWE(Common Weakness Enumeration)로 보안약점이 DB화 되이 관리 됨 (2)SW 개발보안 - 해킹 등 사이버 공격의 원인이 될 수 있는 보안약점을 SW 개발단계에서 사전에 제거하는 것을 목적.. 이전 1 다음