안녕하세요. 이번 Secure Coding 메뉴얼 3편에서는 TestCase와 점검도구에 대해 알아보도록 하겠습니다. Secure Coding 전편은 아래 링크를 통해 확인해주세요. ▶ Secure Coding 메뉴얼 1편 ▶ Secure Coding 메뉴얼 2편 1. TestCase 1.1 회원가입 구분 보안요구항목 점검내용 SR1-1 DBMS 조회 및 결과 검증 중복아이디 검색을 위한 사용자ID에 쿼리를 조작할 수 있는 입력값으로 SQL 삽입공격이 시도될 수 있으므로 입력값 검증 우편번호 검색을 위한 입력값 조작하여 SQL 삽입 공격이 시도될 수 있으므로 입력값 검증 필요 SR1-5 웹 서비스 요청 및 결과 검증 회원가입을 위한 입력정보에 악의적인 스크립트가 포함 될 수 있으므로 입력값 검증 필요 S..

안녕하세요. 이번 Secure Coding 2편에서는 보안 요구 사항 정의와 시큐어 코딩에 대해 알아보도록 하겠습니다. Secure Coding 1편의 내용은 아래 링크를 통해 확인해주세요. ▶ Secure Coding 메뉴얼 1편 1. 보안 요구 사항 정의 1.1 입력 데이터 검증 및 표현 1.1.1 SR1-1 구분 항목 요구 사항 내용 SR1-1 DBMS 조회 및 결과 검증 1. 애플리케이션에서 DB연결을 수행할 때 최소 권한의 계정을 사용해야 한다. 2. 외부 입력값이 삽입되어 SQL쿼리문을 동적으로 생성해서 실행하지 않도록 해야 한다. 3. 외부 입력값을 이용해 동적으로 SQL쿼리문을 생성해야 하는 경우 입려값에 대한 검증을 수행한 뒤 사용해야 한다. ▶ 데이터베이스와 연동되어 있는 어플리케이션의..

1. 개요 소프트웨어 개발 보안 [배경] - 인터넷상 공격의 약 75%는 SW보안취약점을 악용하는 것으로, 특히 외부에 공개되어 불특정 다수를 대상으로 사용자 정보를처리하는 Web Application 취약점으로 인한 중요 정보가 유출되는 침해 사고가 빈번하게 발생하고 있음 - 미국의 경우 국토안보부를 중심으로 시큐어코딩을 포함한 SW개발 전 과정에 대한 보안 활동 연구를 활발히 진행 - 국내의 경우 행안부 시큐어코딩이 적용되는 대상 언어는 JAVA, C, 안드로이드 이며, 소프트웨어 업체는 SQL삽입, 크로스사이트스크립트 등 43개의 보안 취약점을 제거해야 함 - 2017년 정보 시스템 등급별 보안 관리 가이드라인을 개발하였으며 2018년 3월에는 정보 시스템 등급제 적용 근거를 행안부 고시인 ‘정보 ..

이번 주제는 웹 보안에 관련된 내용입니다. 홈페이지에 웹 취약성점검 툴을 돌려 테스트 해본 결과 나온 몇 가지 점들에 대해서 이야기 해볼까 합니다. 지금 여기서 이야기하지 않은 내용들도 많이 있겠지만 간단한 설정만으로 큰 효과를 볼 수 있는 사항에 대해서 진행해 보도록 하겠습니다. 1. 불필요한 Method 지원 첫 번째 목록은 불필요한 Method지원에 관한 내용입니다. HTTP method는 다음과 같은 Method를 지원하고 있습니다. GET 일반적인 요청으로 요청 URI에 모든 요청정보를 포함 하여 전송합니다. POST GET이 URI에모든 요청정보를 포함하였다면 POST는 BODY에 요청정보를 숨겨 전송합니다. PUT POST와 같은 방식으로 전달되지만 BODY의 내용이 실제 URI에 저장됩니다..