목록자격 (80)

IgnatiusHeo

설계단계 보안설계기준-예외처리

작성일: 230630 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(165~170p) 유형 에러처리 설계항목 예외처리 설명 오류메시지에 중요정보(개인정보, 시스템 정보, 민감 정보 등)가 노출되거나, 부적절한 에러 및 오류처리로 인해 의도치 않은 상황이 발생하지 않도록 설계한다. 보안대책 ① 명시적인 예외의 경우 예외처리 블럭을 이용하여 예외 발생 시 수행해야 하는 기능이 구현되어야 한다. ② 런타임 예외의 경우 입력값의 범위를 체크하여 애플리케이션이 정상적으로 동작할 수 있는 값만 사용되도록 보장해야 한다. ③ 에러가 발생한 경우 상세한 에러 정보가 사용자에게 노출되..
자격/SW보안약점진단원 2023. 6. 30. 17:26
설계단계 보안설계기준-중요정보 전송

작성일: 230630 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(159~163p) 유형 보안기능 설계항목 중요정보 전송 설명 중요정보(비밀번호, 개인정보, 쿠키 등)를 전송하는 방법이 안전하도록 설계한다. 보안대책 ① 인증정보와 같은 민감한 정보 전송 시 안전하게 암호화해서 전송해야 한다. ② 쿠키에 포함되는 중요정보는 암호화해서 전송해야 한다. 연관된 구현단계 - 암호화되지 않은 중요정보 https://cryptocurrencyclub.tistory.com/132 가. 취약점 개요 ㅇ 위 내용을 볼 때, 예상 가능한 보안 위협: 스니핑? 프로그램이 민감한 데이터를..
자격/SW보안약점진단원 2023. 6. 30. 17:08
설계단계 보안설계기준-중요정보 저장

작성일: 230630 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(153~158p) 유형 보안기능 설계항목 중요정보 저장 설명 중요정보(비밀번호, 개인정보 등)를 저장,보관하는 방법이 안전하도록 설계한다. 보안대책 ① 중요정보, 개인정보는 암호화해서 저장해야 한다. ② 불필요하거나 사용하지 않는 중요정보가 메모리에 남지 않도록 해야 한다. 연관된 구현단계 - 암호화되지 않은 중요정보 https://cryptocurrencyclub.tistory.com/132 - 사용자 하드디스크에 저장되는 쿠키를 통한 정보 노출 https://cryptocurrencyclub.tis..
자격/SW보안약점진단원 2023. 6. 30. 16:57
설계단계 보안설계기준-암호연산

작성일: 230630 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(145~152p) 유형 보안기능 설계항목 암호연산 설명 국제표준 또는 검증필 암호모듈로 등재된 안전한 암호 알고리즘을 선정하고 충분한 암호키 길이, 솔트, 충분한 난수 값을 적용한 안전한 암호연산 수행방법을 설계한다. 보안대책 ① 대칭키 또는 비대칭키를 이용해서 암복호화를 수행해야 하는 경우 KISA의 암호이용안내서에서 정의하고 있는 암호화 알고리즘과 안전성이 보장되는 암호키 길이를 사용해야 한다. ② 복호화되지 않는 암호화를 수행하기 위해 해시함수를 사용하는 경우 안전한 해시 알고리즘과 솔트값을 적용..
자격/SW보안약점진단원 2023. 6. 30. 16:42
설계단계 보안설계기준-암호키 관리

작성일: 230628 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(138~144p) 유형 보안기능 설계항목 암호키 관리 설명 암호키 생성, 분배, 접근, 파기 등 암호키 생명주기별 암호키 관리방법을 안전하게 설계한다. 보안대책 ① DB데이터 암호화에 사용되는 암호키는 KISA의 암호이용안내서에서 정의하고 있는 방법을 적용해야 한다. ② 설정파일(xml, Properties) 내 중요정보 암호화에 사용되는 암호키는 암호화해서 별도의 디렉토리에 보관해야 한다. 연관된 구현단계 - 하드코드된 중요정보 https://cryptocurrencyclub.tistory.com/1..
자격/SW보안약점진단원 2023. 6. 29. 04:59
설계단계 보안설계기준-중요자원 접근통제

작성일: 230628 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(128~137p) 유형 보안기능 설계항목 중요자원 접근통제 설명 중요자원(프로그램 설정, 민감한 사용자 데이터 등)을 정의하고, 정의된 중요자원에 대한 신뢰할 수 있는 접근통제 방법(권한관리 포함) 설계 및 접근통제 실패 시 처리방법을 설계한다. 보안대책 ① 중요자원에 대한 접근통제 정책을 수립하여 적용해야 한다. ② 중요기능에 대한 접근통제 정책을 수립하여 적용해야 한다. ③ 관리자페이지에 대한 접근통제 정책을 수립하여 적용해야 한다. 연관된 구현단계 부적절한 인가 https://cryptocurre..
자격/SW보안약점진단원 2023. 6. 29. 04:39
이전 Prev 1 ··· 8 9 10 11 12 13 14 Next 다음