IgnatiusHeo

작성일: 230620 ※ 본 게시글은 학습 목적으로 행정안전부·KISA의 소프트웨어 보안약점 진단 가이드, 소프트웨어 개발보안 가이드를 참고하여 작성하였습니다. 정리 내용: 소프트웨어 보안약점 진단 가이드(43~49p) 구분 입력데이터 검증 및 표현 설계항목 DBMS 조회 및 결과 검증 설명 DBMS 조회 시 질의문(SQL) 내 입력값과 그 조회결과에 대한 유효성 검증방법(필터링 등) 설계 및 유효하지 않은 값에 대한 처리 방법을 설계해야 한다 보안대책 ① 애플리케이션에서 DB연결을 수행할 때 최소권한의 계정을 사용해야 한다. ② 외부입력값이 삽입되는 SQL질의문을 동적으로 생성해서 실행하지 않도록 해야 한다. ③ 외부 입력값을 이용해 동적으로 SQL질의문을 생성해야 하는 경우, 입력값에 대한 검증을 수..

작성일: 230619 올해 1차(7/15), 2차(8/5) 합격을 목표로 스터디를 시작하려 한다. 스터디 자료) 소프트웨어 보안약점 진단가이드 (2021) 소프트웨어 개발보안 가이드 (21.12.29) 코딩가이드(C)_V1.2 코딩가이드(Java)_V1.2 스터디 방법) 1. 보안약점 진단 가이드 기준 설계 및 구현단계 항목 정리 정리 대상: 설계단계 보안설계기준(20개), 구현단계 보안약점 제거 기준(49개) 정리 방법: 문서 순서와 동일하게 개조식으로 작성할 건데 나중에 정리본 전체를 합치는 경우도 생각해야 하니, 우선 포맷을 만들면서 수정해 봐야겠다. 2. 개발보안 가이드의 동일 항목과 비교하여 더 좋은 부분 있으면 추가 ㅇ 구현단계에서 소스코드나, 정오탐 관련 다른 내용이 있을 수 있으니? 아직은..