목록자격/SW보안약점진단원 (73)

IgnatiusHeo

설계단계 보안설계기준-중요정보 전송

작성일: 230630 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(159~163p) 유형 보안기능 설계항목 중요정보 전송 설명 중요정보(비밀번호, 개인정보, 쿠키 등)를 전송하는 방법이 안전하도록 설계한다. 보안대책 ① 인증정보와 같은 민감한 정보 전송 시 안전하게 암호화해서 전송해야 한다. ② 쿠키에 포함되는 중요정보는 암호화해서 전송해야 한다. 연관된 구현단계 - 암호화되지 않은 중요정보 https://cryptocurrencyclub.tistory.com/132 가. 취약점 개요 ㅇ 위 내용을 볼 때, 예상 가능한 보안 위협: 스니핑? 프로그램이 민감한 데이터를..
자격/SW보안약점진단원 2023. 6. 30. 17:08
설계단계 보안설계기준-중요정보 저장

작성일: 230630 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(153~158p) 유형 보안기능 설계항목 중요정보 저장 설명 중요정보(비밀번호, 개인정보 등)를 저장,보관하는 방법이 안전하도록 설계한다. 보안대책 ① 중요정보, 개인정보는 암호화해서 저장해야 한다. ② 불필요하거나 사용하지 않는 중요정보가 메모리에 남지 않도록 해야 한다. 연관된 구현단계 - 암호화되지 않은 중요정보 https://cryptocurrencyclub.tistory.com/132 - 사용자 하드디스크에 저장되는 쿠키를 통한 정보 노출 https://cryptocurrencyclub.tis..
자격/SW보안약점진단원 2023. 6. 30. 16:57
설계단계 보안설계기준-암호연산

작성일: 230630 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(145~152p) 유형 보안기능 설계항목 암호연산 설명 국제표준 또는 검증필 암호모듈로 등재된 안전한 암호 알고리즘을 선정하고 충분한 암호키 길이, 솔트, 충분한 난수 값을 적용한 안전한 암호연산 수행방법을 설계한다. 보안대책 ① 대칭키 또는 비대칭키를 이용해서 암복호화를 수행해야 하는 경우 KISA의 암호이용안내서에서 정의하고 있는 암호화 알고리즘과 안전성이 보장되는 암호키 길이를 사용해야 한다. ② 복호화되지 않는 암호화를 수행하기 위해 해시함수를 사용하는 경우 안전한 해시 알고리즘과 솔트값을 적용..
자격/SW보안약점진단원 2023. 6. 30. 16:42
설계단계 보안설계기준-암호키 관리

작성일: 230628 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(138~144p) 유형 보안기능 설계항목 암호키 관리 설명 암호키 생성, 분배, 접근, 파기 등 암호키 생명주기별 암호키 관리방법을 안전하게 설계한다. 보안대책 ① DB데이터 암호화에 사용되는 암호키는 KISA의 암호이용안내서에서 정의하고 있는 방법을 적용해야 한다. ② 설정파일(xml, Properties) 내 중요정보 암호화에 사용되는 암호키는 암호화해서 별도의 디렉토리에 보관해야 한다. 연관된 구현단계 - 하드코드된 중요정보 https://cryptocurrencyclub.tistory.com/1..
자격/SW보안약점진단원 2023. 6. 29. 04:59
설계단계 보안설계기준-중요자원 접근통제

작성일: 230628 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(128~137p) 유형 보안기능 설계항목 중요자원 접근통제 설명 중요자원(프로그램 설정, 민감한 사용자 데이터 등)을 정의하고, 정의된 중요자원에 대한 신뢰할 수 있는 접근통제 방법(권한관리 포함) 설계 및 접근통제 실패 시 처리방법을 설계한다. 보안대책 ① 중요자원에 대한 접근통제 정책을 수립하여 적용해야 한다. ② 중요기능에 대한 접근통제 정책을 수립하여 적용해야 한다. ③ 관리자페이지에 대한 접근통제 정책을 수립하여 적용해야 한다. 연관된 구현단계 부적절한 인가 https://cryptocurre..
자격/SW보안약점진단원 2023. 6. 29. 04:39
설계단계 보안설계기준-비밀번호 관리

작성일: 230628 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(115~127p) 유형 보안기능 설계항목 비밀번호 관리 설명 생성규칙, 저장방법, 변경주기 등 비밀번호 관리정책별 안전한 적용방법을 설계한다. 보안대책 ① 비밀번호 설정 시 KISA의 비밀번호 선택 및 이용 안내서의 비밀번호 보안 지침을 적용한다. ② 네트워크로 비밀번호를 전송하는 경우 반드시 비밀번호를 암호화하거나 암호화된 통신 채널을 이용해야 한다. ③ 비밀번호 저장 시, 솔트가 적용된 안전한 해시함수를 사용해야 하며 비밀번호에 대한 해시를 서버에서 실행되도록 해야 한다. ④ 비밀번호 재설정/변경 ..
자격/SW보안약점진단원 2023. 6. 29. 04:13
이전 Prev 1 ··· 7 8 9 10 11 12 13 Next 다음