SW보안약점진단원4 (자료) 소프트웨어 보안약점 진단원 참고 자료 출처 : KISA 소프트웨어 보안약점 진단가이드 (2021.11) 소프트웨어 개발보안 가이드 (2021.12) 모바일 대민서비스 보안취약점 점검 가이드 (2021.12) 공개SW를 활용한 소프트웨어 개발보안 점검가이드 (2019.06) 시큐어코딩 가이드 (2022) 2023. 4. 6. (구현) 취약점 구분 (구현) 취약점 1. 입력 데이터 검증 및 표현 1 1-1. SQL 삽입 2 1-2. 경로 조작 및 자원 삽입 3 1-3. 크로스사이트 스크립트 4 1-4. 운영체제 명령어 삽입 5 1-5. 위험한 형식 파일 업로드 6 1-6. 신뢰되지 않은 URL 주소로 자동접속 연결 7 1-7. XQuery 삽입 8 1-8. XPath 삽입 9 1-9. LDAP 삽입 10 1-10. 크로스사이트 요청 위조 11 1-11. HTTP 응답 분할 12 1-12. 정수형 오버플로우 13 1-13. 보안 기능 결정에 사용되는 부적절한 입력값 14 1-14. 메모리 버퍼 오버플로우 15 1-15. 포맷스트링 삽입 2. 보안기능 16 2-1. 적절한 인증없는 중요기능 허용 17 2-2. 부적절한 인가 18 2-3. 중요한 .. 2023. 4. 4. (설계) 보안요구항목 구분 (설계) 보안요구항목 보안약점 입력 데이터 검증 및 표현 1 SR1-1 DBMS 조회 및 결과 검증 SQL 삽입 2 SR1-2 XML 조회 및 결과 검증 XQuery 삽입 XPath 삽입 3 SR1-3 디렉토리 서비스 조회 및 결과 검증 LDAP 삽입 4 SR1-4 시스템 자원 접근 및 명령어 수행 입력값 검증 경로조작 및 자원삽입 운영체제 명령어 삽입 5 SR1-5 웹 서비스 요청 및 결과 검증 크로스사이트 스크립트 6 SR1-6 웹 기반 중요기능 수행 요청 유효성 검증 크로스사이트 요청 위조 7 SR1-7 HTTP 프로토콜 유효성 검증 신뢰되지 않은 URL 주소로 자동접속 연결 HTTP 응답분할 8 SR1-8 허용된 범위내 메모리 접근 포맷스트링 삽입 메모리 버퍼 오버플로우 9 SR1-9 보안기.. 2023. 4. 4. S/W 보안약점진단원 용어정리 제5절 용어정리 AES (Advanced Encryption Standard) 미국 정부 표준으로 지정된 블록 암호 형식으로 이전의 DES를 대체하며, 미국 표준 기술 연구소(NIST)가 5년의 표준화 과정을 거쳐 2001년 11월 26일에 연방 정보처리표준(FIPS 197)으로 발표하였다. CAPTCHA (Completely Automated Public Turning test to tell Computers and Humans Apart, 완전 자동화된 사람과 컴퓨터 판별) HIP(Human Interaction Proof) 기술의 일종으로, 어떠한 사용자가 실제 사람인지 컴퓨터 프로그램인지를 구별하기 위해 사용되는 방법이다. DES 알고리즘 DES(Data Encryption Standard)암호는.. 2023. 4. 4. 이전 1 다음 반응형