Presentation is loading. Please wait.

Presentation is loading. Please wait.

소프트웨어 개발보안 설명 및 예시 ‘2013. 2. 20(수) 22:00 22-2기 배주진.

Published byIskender Altan Modified 5년 전

Similar presentations

Presentation on theme: "소프트웨어 개발보안 설명 및 예시 ‘2013. 2. 20(수) 22:00 22-2기 배주진."— Presentation transcript:

1 소프트웨어 개발보안 설명 및 예시 ‘ (수) 22:00 22-2기 배주진

2 개요 본인 소개 소프트웨어 개발보안 정의 및 세 미나 목적 소프트웨어 개발보안이 “왜?” 필 요한가 입력데이터 검증 및 표현
보안기능 시간 및 상태 API 오용 질의 응답

3 본인 소개 이름 : 배주진 나이 : 26살(88년생) 22-2기 멤버십 회원 건국대학교 07학번(3학년 복학예정) 수원 거주! 여행을 좋아하며, 활동적임!!

4 소프트웨어 개발보안 정의 및 세미나 목적 ‘소프트웨어 개발보안’의 정의
 SW 개발과정에서 개발자 실수, 논리적 오류 등으로 인해 SW에 내포될 수 있 는 보안취약점의 원인을 최소화 하는 행위  사이버 보안위협에 대응할 수 있는 안전한 SW를 개발하기 위한 일련의 보 안 활동 세미나 목적  소프트웨어 개발보안을 이해하여, 보안약점이 최소화된 소스 코딩  잘 알려진 보안약점 뿐만 아니라, 추후에 발생할 수 있는 보안약점 예방

5 소프트웨어 개발보안이 “왜?” 필요한가 정보 시스템을 구축 할 경우, 취약점 발생 빈도를 보면
APPLICATION단에서 75% 기존 보안장비(f/w,IPS,보안패치)에서 25%가 있다. 따라서 개발보안을 적용시킬경우, 최소한의 보안장비를 구입 할 수 있어 개발보안만으로 최대 10배 가량의 비용 절감 효과가 있음. ‘12. 6월 행안부가 발표한 ‘정보시스템 구축/운영 지침(행안부고시 제 호)’ 에 따라, 전자정부 관련 정보화사업 수행시 소프트웨어 개발보안을 의무화 하였음. 따라서 전자정보 관련 사업을 하거나, 공공기관 외주를 얻기위해 소프 트웨어 개발보안을 배우고 이해 하여야됨.

6 입력데이터 검증 및 표현 SQL 삽입  데이터베이스와 연동된 웹 어플리케이션에서 입력된 데이터에 대한 유효 성 검증을 하지 않을 경우, 공격자가 입력 폼 및 URL 입력란에 SQL 문을 삽입하여 DB로 부터 정보를 열 람하거나 조작할 수 있는 취약점을 말함.

7 입력데이터 검증 및 표현 SQL 삽입

8 입력데이터 검증 및 표현 크로스사이트 스크립트
검증되지 않은 외부 입력이 동적 웹페이지 생성에 사용될 경우, 동적 웹페이지 를 열람하는 접속자의 권한으로 부적절한 스크립트가 수행되어 정보유출 등 공격 방식. 예) <script>window.open(" "small", 'width=150, height=220')</script>

9 입력데이터 검증 및 표현 상대 디렉터리 경로 조작
외부 입력을 통하여 디렉터리 경로 문자열을 생성하는 경우, 결과 디렉터리가 제한된 디렉터리여야할때, 악의적인 외부입력을 제대로 변환시키지 않으면 예상 밖 영역의 경로 문자열 이 생성될 수 있음. 예) reportName이 ../../../../../../../etc/passwd와 같이 입력될경우 악의적인 사용자가 시스템의 ID 탈취 가능

10 입력데이터 검증 및 표현 상대 디렉터리 경로 조작

11 보안기능 취약한 암호화 알고리즘 사용 간단한 인코딩 함수 base64와 같은 지나치게 간단한 인코딩 함수를 사용하 지 않고,
3-DES, AES와 같은 암호화 알고리즘을 사용해야 된다. 자신만의 암호화 알고리즘을 개발하는 것은 위험하며, 학계 및 업계에서 이 미 검증된 표준화된 알고리즘을 사용

12 보안기능 주석문안에 포함된 패스워드 등 시스템 주요정보
패스워드를 주석문에 넣어두면 시스템 보안에 치명적일 수 있으므로 제거 필요.

13 시간 및 상태 제대로 제어되지 않은 재귀함수 호출
 재귀의 순환횟수를 제어하지 못하여 할당된 메모리나 프로그램 스택 등의 자원을 과다하게 사용하면 해당 시스템이 자원고갈이 발생할 수 있으므로 일정시간안에 결과가 도출되지 않을경우 강제 종료를 해야한다.

14 시간 및 상태 제대로 제어되지 않은 재귀함수 호출
 재귀의 순환횟수를 제어하지 못하여 할당된 메모리나 프로그램 스택 등의 자원을 과다하게 사용하면 해당 시스템이 자원고갈이 발생할 수 있으므로 일정시간안에 결과가 도출되지 않을경우 강제 종료를 해야한다.

15 API 오용 DNS lookup에 의존한 보안결정

16 API 오용 DNS lookup에 의존한 보안결정

17 질의 응답

Download ppt "소프트웨어 개발보안 설명 및 예시 ‘2013. 2. 20(수) 22:00 22-2기 배주진."

Similar presentations

제주특별자치도교육청. 목 차 1 1 2 2 3 3 4 4 1. 일상생활 속에서의 정보보안 안전한 컴퓨터 사용  보안업데이트 자동설정  가짜 백신 프로그램 주의  믿을 수 있는 웹사이트만 접속  자동 로그인 기능 사용 안함  사용 후 반드시 로그아웃 확인 

제주특별자치도교육청. 목 차 일상생활 속에서의 정보보안 안전한 컴퓨터 사용  보안업데이트 자동설정  가짜 백신 프로그램 주의  믿을 수 있는 웹사이트만 접속  자동 로그인 기능 사용 안함  사용 후 반드시 로그아웃 확인 
ITQ 시험 가이드 2005 년 신 출제기준에 따른 한국생산성본부 검정사업센터. ITQ 시험 가이드 2 목차 개요 개요 ITQ 시험과목 및 선택 S/W ITQ 시험과목 및 선택 S/W ITQ 시험 과목별 가이드 ITQ 시험 과목별 가이드 아래한글 /MS 워드 아래한글.

ITQ 시험 가이드 2005 년 신 출제기준에 따른 한국생산성본부 검정사업센터. ITQ 시험 가이드 2 목차 개요 개요 ITQ 시험과목 및 선택 S/W ITQ 시험과목 및 선택 S/W ITQ 시험 과목별 가이드 ITQ 시험 과목별 가이드 아래한글 /MS 워드 아래한글.
의료자원 규제현황과 개선방향 2014. 5. 29. 자원평가실. 의료자원 관리 개요 규제개혁 토론과제.

의료자원 규제현황과 개선방향 자원평가실. 의료자원 관리 개요 규제개혁 토론과제.
1 Push 알림서비스 시나리오 및 시스템 구축방안 Push 알림서비스 시나리오 및 시스템 구축방안 2011. 1. IBK 기업은행 신채널제휴팀 붙임 4.

1 Push 알림서비스 시나리오 및 시스템 구축방안 Push 알림서비스 시나리오 및 시스템 구축방안 IBK 기업은행 신채널제휴팀 붙임 4.
2 Ⅰ Ⅱ Ⅲ 3 Ⅰ 4 1. 추진배경 2. 사업의 정의 3. 사업의 범위 4. 개선방향.

2 Ⅰ Ⅱ Ⅲ 3 Ⅰ 4 1. 추진배경 2. 사업의 정의 3. 사업의 범위 4. 개선방향.
① 인터넷우체국 (www.epost.kr) 을 통한 검색www.epost.kr 새 우편번호 검색방법 ( 인터넷 ) O 다음, 네이버 등 포털서비스와 동일한 통합검색 방식 - 도로명주소, 지번주소, 건물명 등을 입력하여 검색 가능 예시 ) 도움 5 로, 어진동, 우정사업본부.

① 인터넷우체국 ( 을 통한 검색 새 우편번호 검색방법 ( 인터넷 ) O 다음, 네이버 등 포털서비스와 동일한 통합검색 방식 - 도로명주소, 지번주소, 건물명 등을 입력하여 검색 가능 예시 ) 도움 5 로, 어진동, 우정사업본부.
KT Managed ICT KT Managed ICT. 우편물 반송정보제공서비스 SSL VPN 정보보호 구축 제안서 1. SSL VPN 암호화 통신 제안 ( 요약 ) 2. SSL VPN 암호화 통신 구축 비용 3. 국가정보원 IT 보안 인증서 반송정보분석센터 이포스팅㈜

KT Managed ICT KT Managed ICT. 우편물 반송정보제공서비스 SSL VPN 정보보호 구축 제안서 1. SSL VPN 암호화 통신 제안 ( 요약 ) 2. SSL VPN 암호화 통신 구축 비용 3. 국가정보원 IT 보안 인증서 반송정보분석센터 이포스팅㈜
Bizbill 무료전자세금계산서 사용자 메뉴얼.

Bizbill 무료전자세금계산서 사용자 메뉴얼.
(4) 우리 나라의 이상과 목표 2. 국가의 중요성과 국가 발전 중학교 2학년 도덕

(4) 우리 나라의 이상과 목표 2. 국가의 중요성과 국가 발전 중학교 2학년 도덕
개인정보보호 공공기관에서의 개인정보보호 본 자료는 개인정보보호를 위한 교육용 자료로 활용 가능 합니다

개인정보보호 공공기관에서의 개인정보보호 본 자료는 개인정보보호를 위한 교육용 자료로 활용 가능 합니다
개인정보 암호화 법령 현황 - 개인정보 유출 소송 사례와 대응 방안 -

개인정보 암호화 법령 현황 - 개인정보 유출 소송 사례와 대응 방안 -
목차 일모아시스템 시연 및 참고자료 일모아시스템 관련 법/제도/지침 개인정보보호 관련 유의사항 자주묻는질문

목차 일모아시스템 시연 및 참고자료 일모아시스템 관련 법/제도/지침 개인정보보호 관련 유의사항 자주묻는질문
5급 승진 후보자 기획보고서 역량평가 대비 교육 안내 (대학교/교육청/중앙부처/지자체 등) 역량평가아카데미 2014년 5급승진을 위한 역량평가 대비를 위해서 다음과 같이 “기획보고서 교육”을 실시하오니 상담후 신청 바랍니다. 모든 기관의 공통 역량평가사항인 “ 사례제시형.

5급 승진 후보자 기획보고서 역량평가 대비 교육 안내 (대학교/교육청/중앙부처/지자체 등) 역량평가아카데미 2014년 5급승진을 위한 역량평가 대비를 위해서 다음과 같이 “기획보고서 교육”을 실시하오니 상담후 신청 바랍니다. 모든 기관의 공통 역량평가사항인 “ 사례제시형.
연 합 남 전 도 회 월 례 회 1부 예배- 찬 송 ---------- 445 장 --------- 다같이 2011년 1월 2일 1부 예배- 찬 송 ---------- 445 장 --------- 다같이 기 도 ------------------

연 합 남 전 도 회 월 례 회 1부 예배- 찬 송 장 다같이 2011년 1월 2일 1부 예배- 찬 송 장 다같이 기 도
사 업 계 획 2011년 제1호 - 2월 1일 2011 주 안에서 소통하며 화합하고 참여하며 헌신하는 남신도회

사 업 계 획 2011년 제1호 - 2월 1일 2011 주 안에서 소통하며 화합하고 참여하며 헌신하는 남신도회
국가도서관통계시스템 수치입력자 매뉴얼 이의신청 방법 Version. 1.0.

국가도서관통계시스템 수치입력자 매뉴얼 이의신청 방법 Version. 1.0.
감독관 사용설명서 프로메트릭 코리아 유한회사 Version 1.1.

감독관 사용설명서 프로메트릭 코리아 유한회사 Version 1.1.
SW업체 업무설명회 자료 2007년 행정업무용 S/W 구매 2007. 01. 05 조달청 (정보기술용역팀)

SW업체 업무설명회 자료 2007년 행정업무용 S/W 구매 조달청 (정보기술용역팀)
안전진단 대상 설비 및 시설 선정 기준 안전진단 대상 설비 선정 기준

안전진단 대상 설비 및 시설 선정 기준 안전진단 대상 설비 선정 기준
1. 근접경호의 개념 경호대상의 신변을 보호하기 위하여 지근거리에서 실시하는 호위활동을 말하며 경호행위의 마지막 보루이다.

1. 근접경호의 개념 경호대상의 신변을 보호하기 위하여 지근거리에서 실시하는 호위활동을 말하며 경호행위의 마지막 보루이다.

Similar presentations

Ads by Google