정보처리기사/Ⅸ. 소프트웨어 개발 보안 구축3 Chapter 02. 소프트웨어 개발 보안 구현 1. SW 개발 보안 구현 시큐어 코딩 (입보시 에코캡아) 입력데이터 검증 및 표현 보안 기능 시간 및 상태 에러 처리 코드 오류 캡슐화 API 오용 입력데이터 검증 및 표현 취약점 취약점 설명 XSS (Cross Site Script) 검증되지 않은 외부 입력 데이터가 포함된 웹 페이지가 전송되는 경우, 사용자가 해당 웹 페이지를 열람함으로써 웹 페이지에 포함된 부적절한 스크립트가 실행되는 공격 사이트 간 요청 위조 (CSRF; Cross Site Request Forgery) 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격 SQL 삽입 (SQL Injection) 응용 프로그램의 보안 취약점을 이용해서 악의적인 SQL 구문을 삽입, 실행시켜서 데이터베이스(.. 2022. 4. 26. Chapter 01. 소프트웨어 개발 보안 설계(2) 1. 소프트웨어 개발 보안 설계 암호 알고리즘 방식(대비해) : 대칭 키, 비대칭 키, 해시 함수 대칭키 암호 방식 : 암호화와 복호화에 같은 암호 키를 쓰는 알고리즘 대칭 키 암호화 알고리즘 종류 DES(Data Encryption Standard) - 1975년 미국의 연방 표준국(NIST)에서 발표한 대칭 키 기반의 블록 암호화 알고리즘 - 블록크기는 64bit, 키 길이는 56bit인 페이스텔(Feistel)구조 SEED - 1999년 국내 한국인터넷진흥원(KISA)이 개발한 블록 암호화 알고리즘 - 블록크기는 128bit이며, 키 길이에 따라 128bit, 256bit로 분류 AES(Advanced Encryption Standard) - 2001년 미국 표준 기술 연구소(NIST)에서 발표한 .. 2022. 4. 18. Chapter 01. 소프트웨어 개발 보안 설계(1) 1. 소프트웨어 개발 보안 설계 SW 개발 보안 3대 요소 (기무가) 기밀성(Confidentiality) 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성 무결성(Integrity) 정당한 방법을 따르지 않고서는 데이터가 변경될 수 없으며, 데이터의 정확성 및 완전성과 고의/악의로 변경되거나 훼손 또는 파괴되지 않음을 보장하는 특성 가용성(Availability) 권한을 가진 사용자나 애플리케이션이 원하는 서비스를 지속해서 사용할 수 있도록 보장하는 특성 SW 개발 보안 용어 자산(Assets) 조직의 데이터 또는 조직의 소유자가 가치를 부여한 대상 예) 서버의 하드웨어, 기업의 중요 데이터 위협(Threat) 조직이나 기업의 자산에 악영향을 끼칠 수 있는 사건이나 행위 .. 2022. 4. 18. 이전 1 다음