* SW 개발 보안
- SW 개발 과정에서 개발자 실수, 논리적 오류 등으로 인해 SW에 내포될 수 있는 보안 약점 원인
- 보안 취약점 최소화하고 사이버 보안 위협에 대응할 수 있는 안전한 SW 개발하기 위한 일련의 보안 활동
* SW 개발 보안가이드 (시큐어 코딩) 유형
유형 | 설명 |
입력 데이터 검증 및 표현 |
- P/G 입력 값 대한 검증 누락 또는 부적절한 검증, 데이터 잘못된 형식 지정으로 인해 발생 가능한 보안 약점 ※ SQL 삽입, 자원 삽입, 크로스 사이트 스크립트(XSS) 등 26개 |
보안 기능 | - 보안 기능(인증, 접근 제어, 기밀성, 암호화, 권한 관리 등) 적절하지 않게 구현할 경우 발생 가능한 보안 약점 ※ 부적절한 인가, 중요 정보 평문 저장(또는 전송) 등 24개 |
시간 및 상태 | - 동시 또는 거의 동시 수행 지원하는 병렬 시스템, 하나 이상의 프로세스가 동작하는 환경에서 시간 및 상태 부적절하게 관리하여 발생 가능한 보안 약점 ※ 경쟁 조건, 제어문 사용 않는 재귀 함수 등 7개 |
불충분한 에러 처리 |
- 에러 처리 않거나, 불충분하게 처리하여 에러 정보에 중요 정보(시스템 버전 등) 포함될 때 발생 가능한 보안 약점 ※ 취약한 패스워드 요구조건, 오류 메시지 통한 정보 노출 등 4개 |
코드 오류 | - 타입 변환 오류, 자원(메모리 등)의 부적절한 반환 등 과 같이 개발자가 범할 수 있는 코딩 오류로 인해 유발되는 보안 약점 ※ 널 포인터 역참조, 부적절한 자원 해제 등 7개 |
캡슐화 | - 중요 데이터 또는 기능성을 불충분하게 캡슐화 했을 때 인가되지 않는 사용자에게 데이터 누출 가능해지는 보안 약점 ※ 제거되지 않고 남은 디버그 코드, 시스템 데이터 정보 노출 등 8개 |
API 오용 | - 의도된 사용에 반하는 방법으로 API 사용하거나, 보안에 취약한 API 사용하여 발생가능한 보안 약점 ※ DNS Lookup에 의존한 보안 결정, NULL 매개변수 미조사 등 7개 |
320x100
'정보처리기사 > 필기' 카테고리의 다른 글
[정보처리기사 필기 요약] 프로그램 개발 언어 (객체지향, 선언형) (0) | 2021.03.04 |
---|---|
[정보처리기사 필기 요약] 배치 프로그램 (0) | 2021.03.04 |
[정보처리기사 필기 요약] 취약점 (0) | 2021.03.04 |
[정보처리기사 필기 요약] 모듈화 (2) - 응집도 (Cohesion) (0) | 2021.03.04 |
[정보처리기사 필기 요약] 모듈화 (2) - 결합도 (Coupling) (0) | 2021.03.04 |
댓글