본문 바로가기

terry.j

Notice

공지사항

Recent Posts

Popular Posts

Recent Comments

Link

Calendar

Tags

더보기

Archives

Visits

Today

Yesterday

IT정보/SW보안약점 진단원

IT정보/SW보안약점 진단원 2023. 9. 18. 구현단계 보안 약점 중 확인 사항 1. 부적절한 인가 가. 개요 프로그램이 모든 가능한 실행경로에 대해서 접근제어를 검사하지 않거나 불완전하게 검사하는 경우, 공격자는 접근 가능한 실행경로 정보를 유출할 수 있다. 나. 보안대책 응용프로그램이 제공하는 정보와 기능을 역할에 따라 배분함으로써 공격자에게 노출되는 공격노출면15) (Attack Surface)을 최소화하고 사용자의 권한에 따른 ACL(Access Control List)을 관리한다. JAAS Authorization Framework나 OWASP ESAPI Access Control 등의 프레임워크를 사용해서 취약점을 제거할 수도 있다. 외부의 입력인 name 값이 필터가 아닌 동적인 LDAP 쿼리문 에서 사용자명으로 사용되었으며, 사용자 인증을 위한 별도의 접근제어 방법이 ..

IT정보/SW보안약점 진단원 2023. 9. 15. SW보안약점 진원원 시험 공부 1. 부족한 부분 설계부분 유형-보안대책-관련 사례 (그림) 연계 2.

IT정보/SW보안약점 진단원 2023. 9. 5. 4.1 세션 통제 4.1 세션 통제1. 보안약점 항목잘못된 세션에 의한 데이터 정보 노출2. 설명3. 보안대책 세션 간 데이터가 공유되지 않도록 설계해야 한다.세션이 안전하게 관리되도록 해야 한다.세션ID가 안전하게 관리되도록 해야 한다.4. 진단기준 세션이 안전하게 관리되도록 설계되어 있는가?세션이 안전하게 관리되는지를 점검하는 테스트 계획이 수립되어 있는가? 사례1 : 불충분한 세션관리 인증시 일정한 규칙이 존재하는 세션ID가 발급되거나 세션 타임아웃을 너무 길게 설정한 경우 공격자에 의해 사용자 권한이 도용될 수 있는 취약점이다. 사례2 : 잘못된 세션에 의한 정보노출 다중 스레드 환경에서는 싱글톤(Singleton)객체 필드에 경쟁조건(Race Condition) 발생할 수 있다. 따라서, 다중 스레드 환경인 ja..

IT정보/SW보안약점 진단원 2023. 9. 3. 3.1 예외처리 3.1 예외처리 1. 보안약점 항목 오류 메시지 정보노출 2. 설명 오류메시지에 중요정보(개인정보, 시스템 정보, 민감 정보 등)가 노출되거나, 부적절한 에러 및 오류처리로 인하여 의도치 않은 상황이 발생하지 않도록 설계한다. 3. 보안대책 명시적인 예외의 경우 예외처리 블럭을 이용하여 예외 발생시 수행해야 하는 기능이 구현 되도록 해야 한다. 런타임 예외의 경우 입력값의 범위를 체크하여 애플리케이션이 정상적으로 동작할 수 있는 값만 사용되도록 보장해야 한다. 에러가 발생한 경우 상세한 에러 정보가 사용자에게 노출되지 않게 해야 한다. 4. 진단기준 Exception 발생시 상세한 에러정보가 사용자에게 노출되지 않도록 설계되어 있는가? 에러로 상세정보가 노출되는지 점검하는 테스트 계획이 수립되어 있는가?..

IT정보/SW보안약점 진단원 2023. 9. 2. 2.8 중요정보 전송 2.8 중요정보 전송 1. 보안약점 항목 암호화되지 않은 중요정보 2. 설명 중요정보(비밀번호, 개인정보, 쿠키 등)를 전송하는 방법이 안전하도록 설계한다. 3. 보안대책 인증정보와 같은 민감한 정보 전송시 안전하게 암호화해서 전송해야 한다. 쿠키에 포함되는 중요정보는 암호화해서 전송해야 한다. 4. 진단기준 쿠키에 포함되는 중요정보는 암호화되어 전송되도록 설계되어 있는가? 쿠키에 포함된 중요정보에 암호화가 적용되었는지에 대한 테스트 계획을 수립하고 있는가? 프로그램이 보안과 관련된 민감한 데이터를 평문으로 송·수신할 경우, 통신채널 스니핑으로 인가되지 않은 사용자에게 민감한 데이터가 노출될 수 있다.

IT정보/SW보안약점 진단원 2023. 8. 25. 2.7 중요정보 저장 2.7 중요정보 저장 1. 보안약점 항목 암호화 되지 않은 중요정보 사용자 하드디스크에 저장되는 쿠키를 통한 정보 노출 2. 설명 중요정보(비밀번호, 개인정보 등)를 저장·보관하는 방법이 안전하도록 설계한다. 3. 보안대책 중요정보 또는 개인정보는 암호화해서 저장해야 한다. 불필요하거나 사용하지 않는 중요정보가 메모리에 남지 않도록 해야 한다. 4. 진단기준 사용하지 않는 중요정보가 메모리에 남아있지 않도록 설계되어 있는가? 사용하지 않는 중요정보의 메모리 잔존을 점검하는 테스트 계획이 수립되어 있는가? 사례1 : 중요정보 평문저장 메모리나 디스크에서 처리하는 중요데이터(개인정보, 인증정보, 금융정보)가 제대로 보호되지 않을 경우, 보안이나 데이터의 무결성이 훼손될 수 있다. 특히 프로그램이 개인정보, ..

IT정보/SW보안약점 진단원 2023. 8. 25. 2.6 암호연산 2.6 암호연산 1. 보안약점 항목 취약한 암호화 알고리즘 사용 충분하지 않은 키 길이 사용 적절하지 않은 난수 값 사용 부적절한 인증서 유효성 검증 솔트 없이 일방향 해쉬함수 사용 2. 설명 국제표준 또는 검증필 암호모듈로 등재된 안전한 암호 알고리즘을 선정하고 충분한 암호키 길이, 솔트, 충분한 난수 값을 적용한 안전한 암호연산 수행방법을 설계한다. 3. 보안대책 대칭키 또는 비대칭키를 이용해서 암·복호화를 수행해야 하는 경우 한국인터넷진흥원의 『암호이용안내서』에서 정의하고 있는 암호화 알고리즘과 안전성이 보장되는 암호키 길이를 사용해야 한다. 복호화되지 않는 암호화를 수행하기 위해 해시함수를 사용하는 경우 안전한 해시 알고리즘 과 솔트값을 적용하여 암호화해야 한다. 난수 생성 시 안전한 난수 생성 ..

IT정보/SW보안약점 진단원 2023. 8. 25. 2.5 암호키 관리 2.5 암호키 관리 1. 보안약점 항목 하드코드된 중요정보 주석문안에 포함된 시스템 주요 정보 2. 설명 암호키 생성, 분배, 접근, 파기 등 암호키 생명주기별 암호키 관리방법을 안전하게 설계한다. 3. 보안대책 DB데이터 암호화에 사용되는 암호키는 한국인터넷진흥원의 「암호이용안내서」에서 정의하고 있는 방법을 적용해 한다. 설정파일(xml, Properties)내의 중요정보 암호화에 사용되는 암호키는 암호화해서 별도의 디렉토리에 보관해야 한다. 4. 진단기준 암호키를 관리하기 위한 정책이 수립되어 있으며, 안전하게 암호키를 관리하기 위한 방법이 설계에 반영되어 있는가? 암호키가 안전하게 관리되는지 점검하는 테스트 계획이 수립되어 있는가? 사례1 : 하드코드된 암호키 코드 내부에 암호화 키를 하드코딩하여 ..

이전 1 2 3 다음

티스토리툴바