목록자격 (80)

IgnatiusHeo

설계단계 보안설계기준-HTTP 프로토콜 유효성 검증

작성일: 230623 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(76~80p) 유형 입력데이터 검증 및 표현 설계항목 HTTP 프로토콜 유효성 검증 설명 비정상적인 HTTP헤더, 자동연결 URL 링크 등 사용자가 원하지 않은 결과를 생성하는 HTTP 헤더,응답결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법을 설계해야 한다. 보안대책 ① 외부입력값을 쿠키 및 HTTP 헤더정보로 사용하는 경우, HTTP 응답분할 취약점을 가지지 않도록 필터링해서 사용해야 한다. ② 외부입력값이 페이지 이동(리다이렉트, 포워드)을 위한 URL로 사용되어야 하는 경..
자격/SW보안약점진단원 2023. 6. 23. 03:22
설계단계 보안설계기준-웹 기반 중요 기능 수행 요청 유효성 검증

작성일: 230623 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(71~75p) 유형 입력데이터 검증 및 표현 설계항목 웹 기반 중요 기능 수행 요청 유효성 검증 설명 비밀번호 변경, 결제 등 사용자 권한 확인이 필요한 중요기능을 수행할 때 웹 서비스 요청에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법을 설계해야 한다. 보안대책 ① 시스템으로 전송되는 모든 요청에 대해 정상적인 사용자의 유효한 요청인지, 아닌지 여부를 판별할 수 있도록 해야 한다. 연관된 구현단계 - 크로스사이트 요청 위조 https://cryptocurrencyclub.tisto..
자격/SW보안약점진단원 2023. 6. 23. 03:12
설계단계 보안설계기준-웹 서비스 요청 및 결과 검증

작성일: 230623 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(64~70p) 유형 입력데이터 검증 및 표현 설계항목 웹 서비스 요청 및 결과 검증 설명 웹 서비스(게시판 등) 요청(스크립트 게시 등)과 응답결과(스크립트를 포함한 웹 페이지)에 대한 유효성 검증 방법 설계 및 유효하지 않은 값에 대한 처리 방법을 설계해야 한다. 보안대책 ① 사용자로부터 입력받은 값을 동적으로 생성되는 응답페이지에 사용하는 경우 크로스 사이트 스크립트(XSS) 필터링을 수행한 뒤 사용해야 한다. ② DB조회결과를 동적으로 생성되는 응답페이지에 사용하는 경우 HTML인코딩 또는 크로스..
자격/SW보안약점진단원 2023. 6. 23. 02:32
설계단계 보안설계기준-시스템 자원 접근 및 명령어 수행 입력값 검증

작성일: 230623 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(58~63p) 유형 입력데이터 검증 및 표현 설계항목 시스템 자원 접근 및 명령어 수행 입력값 검증 설명 시스템 자원접근 및 명령어를 수행할 때 입력값에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리 방법을 설계해야 한다. 보안대책 ① 외부입력값을 이용하여 시스템자원(IP, PORT번호, 프로세스, 메모리, 파일 등)을 식별하는 경우 허가되지 않은 자원이 사용되지 않도록 해야 한다. ② 서버프로그램 안에서 셸을 생성하여 명령어를 실행해야 하는 경우 외부입력값에 의해 악의적인 명령어가 실행..
자격/SW보안약점진단원 2023. 6. 23. 02:01
설계단계 보안설계기준-디렉토리 서비스 조회 및 결과 검증

작성일: 230621 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(54~57p) 유형 입력데이터 검증 및 표현 설계항목 디렉토리 서비스 조회 및 결과 검증 설명 디렉토리 서비스(LDAP 등)을 조회할 때 입력값과 그 조회결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법을 설계한다. 보안대책 ① LDAP 인증서버로 인증을 구현하는 경우 인증요청을 위해 사용되는 외부입력값은 LDAP 삽입 취약점을 가지지 않도록 필터링해서 사용해야 한다. 연관된 구현단계 - LDAP 삽입 https://cryptocurrencyclub.tistory.com/119 가..
자격/SW보안약점진단원 2023. 6. 22. 02:12
설계단계 보안설계기준-XML 조회 및 결과 검증

작성일: 230621 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(50~53p) 구분 입력데이터 검증 및 표현 설계항목 XML 조회 및 결과 검증 설명 XML 조회시 질의문(XPath, XQuery 등) 내 입력값과 그 조회결과에 대한 유효성 검증 방법(필터링 등)과 유효하지 않은 값에 대한 처리방법을 설계해야 한다. 보안대책 ① XML문서를 조회하는 기능을 구현해야 하는 경우 XML질의문에 사용되는 파라미터는 반드시 XML쿼리를 조작할 수 없도록 필터링해서 사용하거나, 미리 작성된 질의문에 입력값을 자료형에 따라 바인딩해서 사용해야 한다. 연관된 구현단계 - XML..
자격/SW보안약점진단원 2023. 6. 22. 01:55
이전 Prev 1 ··· 10 11 12 13 14 Next 다음