목록자격/SW보안약점진단원 (73)

IgnatiusHeo

구현단계 보안약점 제거 기준-암호화되지 않은 중요정보

작성일: 230704 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(337~349p) 구분 - 보안기능 설계단계 - 중요정보 저장 https://cryptocurrencyclub.tistory.com/106 개요 많은 응용프로그램은 메모리나 디스크에서 중요한 정보(개인정보, 인증정보, 금융정보 등)를 처리한다. 이러한 중요정보가 제대로 보호되지 않을 경우, 보안이나 데이터의 무결성을 잃을 수 있다. 특히 사용자 또는 시스템의 중요정보가 포함된 데이터를 평문으로 송·수신 또는 저장할 때 인가되지 않은 사용자에게 민감한 정보가 노출될 수 있다. 진단 세부사항 (설계단계) ..
자격/SW보안약점진단원 2023. 7. 4. 20:14
구현단계 보안약점 제거 기준-취약한 암호화 알고리즘 사용

작성일: 230704 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(330~336p) 구분 - 보안기능 설계단계 - 암호연산 https://cryptocurrencyclub.tistory.com/105 개요 SW 개발자들은 환경설정 파일에 저장된 비밀번호를 보호하기 위하여 간단한 인코딩 함수를 이용하여 비밀번호를 감추는 방법을 사용하기도 한다. 그렇지만 base64와 같은 지나치게 간단한 인코딩 함수로는 비밀번호를 제대로 보호할 수 없다. 정보보호 측면에서 취약하거나 위험한 암호화 알고리즘을 사용해서는 안 된다. 표준화되지 않은 암호화 알고리즘을 사용하는 것은 공격자가..
자격/SW보안약점진단원 2023. 7. 4. 19:50
구현단계 보안약점 제거 기준-중요한 자원에 대한 잘못된 권한 설정

작성일: 230704 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(325~329p) 구분 - 보안기능 설계단계 - 중요자원 접근통제 https://cryptocurrencyclub.tistory.com/103 개요 SW가 중요한 보안관련 자원에 대하여 읽기 또는 수정하기 권한을 의도하지 않게 허가할 경우, 권한을 갖지 않은 사용자가 해당자원을 사용하게 된다. 진단 세부사항 (설계단계) ① 중요자원에 대한 접근통제 정책을 수립하여 적용해야 한다. 중요자원에 대한 접근통제가 이루어지도록 설계되어 있는지 확인한다. ㅇ 중요자원의 식별 여부 확인 ㅇ 중요자원에 접근하는 사용..
자격/SW보안약점진단원 2023. 7. 4. 19:42
구현단계 보안약점 제거 기준-부적절한 인가

작성일: 230704 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(319~324p) 구분 - 보안기능 설계단계 - 중요자원 접근통제 https://cryptocurrencyclub.tistory.com/103 개요 프로그램이 모든 가능한 실행경로에 대해서 접근제어를 검사하지 않거나 불완전하게 검사하는 경우, 공격자는 접근 가능한 실행경로 정보를 유출할 수 있다. 진단 세부사항 (설계단계) ① 중요자원에 대한 접근통제 정책을 수립하여 적용해야 한다. 중요자원에 대한 접근통제가 이루어지도록 설계되어 있는지 확인한다. ㅇ 중요자원의 식별 여부 확인 ㅇ 중요자원에 접근하는 ..
자격/SW보안약점진단원 2023. 7. 4. 19:26
구현단계 보안약점 제거 기준-적절한 인증 없는 중요기능 허용

작성일: 230704 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(314~318p) 구분 - 보안기능 설계단계 - 인증 대상 및 방식 https://cryptocurrencyclub.tistory.com/100 개요 적절한 인증과정이 없이 중요정보(계좌이체 정보, 개인정보 등)를 열람(또는 변경)할 때 발생하는 보안약점이다. 진단 세부사항 (설계단계) ① 중요기능이나 리소스에 대해서는 인증 후 사용 정책이 적용되어야 한다. 중요기능은 안전한 인증방식을 사용하여 인증 후 사용하도록 설계하고 인증이 수행되도록 설계되어 있는지 확인한다. ㅇ 중요기능과 중요 리소스에 대한 ..
자격/SW보안약점진단원 2023. 7. 4. 19:13
구현단계 보안약점 제거 기준-포맷 스트링 삽입

작성일: 230704 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(309~313p) 구분 - 입력데이터 검증 및 표현 설계단계 - 허용된 범위내 메모리 접근 https://cryptocurrencyclub.tistory.com/96 개요 메모리 버퍼 오버플로우 보안약점은 연속된 메모리 공간을 사용하는 프로그램에서 할당된 메모리의 범위를 넘어선 위치에 자료를 읽거나 쓰려고 할 때 발생한다. 메모리 버퍼 오버플로우는 프로그램의 오동작을 유발시키거나, 악의적인 코드를 실행시킴으로써 공격자 프로그램을 통제할 수 있는 권한을 획득하게 한다. 메모리 버퍼 오버플로우에는 스택 메..
자격/SW보안약점진단원 2023. 7. 4. 18:55
이전 Prev 1 ··· 3 4 5 6 7 8 9 ··· 13 Next 다음