1. 보안 기능의 개요소프트웨어 개발의 구현 단계에서 코딩하는 기능인증, 접근제어, 기밀성, 암호화 등을 올바르게 구현하기 위한 보안 점검 항목들각 보안 기능들은 서비스 환경이나 취급 데이터에 맞게 처리될 수 있도록 구현해야 함소프트웨어의 기능 또는 데이터에 접근하려는 사용자별로 중요도를 구분하고, 차별화된 인증 방안을 적용인증된 사용자가 이용할 기능과 데이터에 대해 개별적으로 접근 권한을 부여하여 인가되지 않은 기능과 데이터로의 접근을 차단개인정보나 인증정보와 같은 중요한 정보의 변조, 삭제, 오남용 등을 방지하기 위해 안전한 암호화 기술을 적용2. 보안 기능의 보안 약점적절한 인증 없이 중요기능 허용보안검사를 우회하여 인증과정 없이 중요한 정보 또는 기능에 접근 및 변경이 가능중요정보나 기능을 수행하..
1. 입력 데이터 검증 및 표현의 개요입력 데이터로 인해 발생하는 문제들을 예방하기 위해 구현 단계에서 검증해야 하는 보안 점검 항목들입력 데이터로 인해 발생하는 문제를 예방하기 위해서는 소프트웨어 개발의 구현 단계에서 2. 입력 데이터 검증 및 표현의 보안 약점입력 데이터 검증 및 표현과 관련된 점검을 수행하지 않은 경우 SQL 삽입, 자원 삽입, 크로스사이트 스크립팅, 운영체제 명령어 삽입 등의 공격에 취약해짐보안 약점의 종류SQL 삽입웹 응용 프로그램에서 SQL을 삽입하여 내부 데이터베이스(DB) 서버의 데이터를 유출 및 변조하고 관리자 인증을 우회하는 보안 약점동적 쿼리에 사용되는 입력 데이터에 예약어 및 특수문자가 입력되지 않게 필터링 되도록 설정하여 방지할 수 있음동적 쿼리 : 질의어 코드를 ..
1. 세션 통제의 개요서버와 클라이언트의 연결을 의미하고, 세션 통제는 세션의 연결과 연결로 인해 발생하는 정보를 관리하는 것을 의미세션 통제는 소프트웨어 개발 과정 중 요구사항 분석 및 설계 단계에서 진단해야하는 보안 점검 내용세션 통제의 보안 약점에는 불충분한 세션 관리, 잘못된 세션에 의한 정보 노출이 있음2. 불충분한 세션 관리일정한 규칙이 존재하는 세션ID가 발급되거나 타임아웃이 너무 길게 설정되어 있는 경우 발생할 수 있는 보안 약점세션 관리가 충분하지 않으면 침입자는 세션 하이재킹과 같은 공격을 통해 획득한 세션ID로 인가되지 않은 시스템의 기능을 이용하거나 중요한 정보에 접근할 수 있음세션ID : 서버가 클라이언트들을 구분하기 위해 부여하는 키(Key), 클라이언트가 서버에 요청을 보낼 때..
1. Secure SDLC의 개요보안상 안전한 소프트웨어를 개발하기 위해 SDLC에 보안 강화를 위한 프로세스를 포함한 것소프트웨어의 유지 보수 단계에서 보안 이슈를 해결하기 위해 소모되는 많은 비용을 최소화하기 위해 등장요구사항 분석, 설계, 구현, 테스트, 유지 보수 등 SDLC 전체 단계에 걸쳐 수행되어야 할 보안 활동 제시Secure SDLC의 대표적인 방법론CLASPSecure Software사에서 개발하였으며, SDLC의 초기 단계에서 보안을 강화하기 위해 개발된 방법론활동 중심, 역할 기반의 프로세스로 구성현재 운용 중인 시스템에 적용하기에 적합SDL마이크로소프트 사에서 안전한 소프트웨어 개발을 위해 기존의 SDLC를 개선한 방법론전통적인 나선형 모델을 기반으로 함Seven Touchpoin..
1. 교착상태의 개요상호 배제에 의해 나타나는 문제점둘 이상의 프로세스들이 자원을 점유한 상태에서 서로 다른 프로세스가 점유하고 있는 자원을 요구하며 무한정 기다리는 현상교착상태와 무한 연기 : 무한정 기다리는 현상교착상태 : 전혀 가능성이 없는 상태무한 연기 : 가능성이 있는 상태2. 교착상태 발생의 필요 충분 조건상호 배제 Mutual Exclusion : 한 번에 한 개의 프로세스만이 공유 자원을 사용할 수 있어야 함점유와 대기 Hold and Wait : 최소한 하나의 자원을 점유하고 있으면서 다른 프로세스에 할당되어 사용되고 있는 자원을 추가로 점유하기 위해 대기하는 프로세스가 있어야 함비선점 Non-preemption : 다른 프로세스에 할당된 자원은 사용이 끝날 때까지 강제로 빼앗을 수 없어..
1. 회복 Recovery트랜잭션들을 수행하는 도중 장애가 발생하여 데이터베이스가 손상되었을 때 손상되기 이전의 정상 상태로 복구하는 작업장애의 유형트랜잭션 장애 : 입력 데이터 오류, 불명확한 데이터, 시스템 자원 요구의 과다 등 트랜잭션 내부의 비정상적인 상황으로 인하여 프로그램 실행이 중지되는 현상시스템 장애 : 데이터베이스에 손상을 입히지는 않으나 하드웨어 오동작, 소프트웨어의 손상, 교착상태 등에 의해 모든 트랜잭션의 연속적인 수행에 장애를 주는 현상미디어 장애 : 저장장치인 디스크 블록의 손상이나 디스크 헤드의 충돌 등에 의해 데이터베이스의 일부 또는 전부가 물리적으로 손상된 상태회복 관리기 Recovery ManagementDBMS의 구성 요소트랜잭션 실행이 성공적으로 완료되지 못하면 트랜잭..