IgnatiusHeo

작성일: 230724 올해 8/27 시험을 목표로 CPPG(개인정보관리사) 스터디를 시작한다. 1. 분량이 굉장히 방대하고, 학습하면서 확인해야 할 최신 내용이 많은걸로 알고 있어 어디서부터 손대야할지 모르겠다 합격률은 높지도, 낮지도 않은편? 스터디 자료) 개인정보관리사 CPPG(다락원) 개인정보보호 포털: https://www.privacy.go.kr/ 개인정보보호위원회: https://www.pipc.go.kr/ 개인정보분쟁조정위원회: https://www.kopico.go.kr/ 스터디 방법) 1. 시험 출제 기준 확인 및 학습 (2주) ㅇ CPPG 출제 기준 페이지: https://cpptest.or.kr/new/privacy/cpp4.php 2. 애매한 내용은 개보 포털이나 위원회 자료 + 사..

작성일: 230724 올해 8/19 시험을 목표로 소프트웨어 테스트 전문가 Foundation Level 스터디를 시작한다. CSTS 합격률을 보면 복불복의 느낌이 좀 강해보이긴 한데.. 해당 시험 다음주에 CPPG 예정이라 시험일까지 약 4주인데, 실제로 1.5주정도 할애할 것 같다. 스터디 자료) 소프트웨어 테스트 전문가(CSTS) 가이드 교재(홍릉 출판사) TTA 아카데미 자료 스터디 방법) 1. 시험 출제 기준 확인 ㅇ CSTS는 ADP - ADSP, SQLP - SQLD 와 같이 전문가 - 준전문가 자격으로 나뉘어져 무턱대고 교재를 공부할 경우 Advanced level 출제 범위까지 공부할 수 있다. ㅇ 따라서 교재 구입 후, CSTS 출제 기준 페이지를 확인하여 매핑 후, 공부를 해야한다. ..

작성일: 230715 * 합격 수기/스터디 과정/실제 공부 방법 등은 아래 링크https://cryptocurrencyclub.tistory.com/167 23년 SW 보안약점 진단원 합격 수기, 공부 방법작성일: 230728 23년 1차 소프트웨어 보안약점 진단원 시험에 응시했고, 오늘 종합점수 72.8점으로 합격했다. 다른 분이 올린 진단원 합격 현황을 보니 최근 7년 합격률이 2%대여서 많이 걱정했는데,,cryptocurrencyclub.tistory.com 나는 작년 SW 보안약점 진단원 양성과정을 이수했고, 올해부터 1차, 2차 시험을 목표로 공부를 시작하였다.(작년에 봤던 첫 시험은 문제 유형만 기록해서 나왔다) https://cryptocurrencyclub.tistory.com/88 23년..

작성일: 230708 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(43~177p) 1. 입력데이터 검증 및 표현 설계항목 1.1 DBMS 조회 및 결과 검증 https://cryptocurrencyclub.tistory.com/89 설명 DBMS 조회 시 질의문(SQL) 내 입력값과 그 조회결과에 대한 유효성 검증방법(SQL 필터링 등) 설계 및 유효하지 않은 값에 대한 처리 방법을 설계해야 한다 보안대책 ① 애플리케이션에서 DB연결을 수행할 때 최소권한의 계정을 사용해야 한다. ② 외부입력값이 삽입되는 SQL질의문을 동적으로 생성해서 실행하지 않도록 해야 한다. →..

작성일: 230706 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(497~502p) 구분 - API 오용 설계단계 개요 취약한 API는 보안상 금지된(banned) 함수이거나, 부주의하게 사용될 가능성이 많은 API를 의미한다. 이들 범주의 API에 대해 확인하지 않고 사용할 때 보안 문제를 발생시킬 수 있다. 금지된 API의 대표적인 예로는 스트링 자료와 관련된 strcat(), strcpy(), strncat(), strncpy(), sprintf() 등이 있다. 또한 보안상 문제가 없다 하더라도 잘못된 방식으로 함수를 사용할 때도 역시 보안 문제를 발생 시킬 수..

작성일: 230704 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(492~496p) 구분 - 보안기능, API오용 설계단계 - 인증 대상 및 방식 https://cryptocurrencyclub.tistory.com/100 개요 공격자가 DNS 엔트리를 속일 수 있으므로 도메인명에 의존에서 보안결정(인증 및 접근통제 등)을 하지 않아야 한다. 만약, 로컬 DNS 서버의 캐시가 공격자에 의해 오염된 상황이라면, 사용자와 특정 서버 간의 네트워크 트래픽이 공격자를 경유하도록 할 수도 있다. 또한, 공격자가 마치 동일 도메인에 속한 서버인 것처럼 위장할 수도 있다. 진단 ..

작성일: 230706 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(487~491p) 구분 - 캡슐화 설계단계 개요 public으로 선언된 메소드의 인자가 private선언된 배열에 저장되면, private배열을 외부에서 접근하여 배열수정과 객체 속성변경이 가능해진다. 진단 세부사항 (설계단계) 보안대책 (구현단계) public으로 선언된 메서드의 인자를 private선언된 배열로 저장되지 않도록 한다. 인자로 들어온 배열의 복사본을 생성하고 clone() 메소드로 복사된 원소를 저장하도록 하여 private변수에 할당하여 private선언된 배열과 객체속성에 대한 의..

작성일: 230704 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(481~486p) 구분 - 캡슐화 설계단계 개요 private로 선언된 배열을 public으로 선언된 메소드로 반환(return)하면, 그 배열의 레퍼런스가 외부에 공개되어 외부에서 배열수정과 객체 속성변경이 가능해진다. 진단 세부사항 (설계단계) 보안대책 (구현단계) private로 선언된 배열을 public으로 선언된 메소드로 반환하지 않도록 해야 한다. private 배열에 대한 복사본을 반환하도록 하고 배열의 원소에 대해서는 clone() 메소드로 복사된 원소를 저장하도록 하여 private 선..