Thanks

버퍼 오버플로우 스택(Stack)이나 힙(Heap)에 할당되는 메모리에 문자열 등이 저장될 때 최초 정의된 메모리의 크기를 초과하여 문자열을 저장하는 경우 버퍼 오버플로우가 발생한다 포맷스트일 사입 공격자는 외부입력값에 포맷 문자열을 삽입하여 취약한 프로세스를 공격하거나 메모리 내용을 읽거나 쓸 수 있다. 그결과 공격자는 취약한 프로세스의 권한을 취득하여 임의의 코드를 실행 할 수 있다 설계 시 고려사항 C나 C++ 같이 메모리를 프로그래머가 관리하는 플랫폼을 사용하는 경우 메모리 버퍼의 경계값을 넘어서 메모리를 읽거나 저장하지 않도록 경계 설정 또는 검사를 수행해야 한다 - 실행되는 시스템에 Non-excutable stack , 랜덤스택(ASLR), 스택가드(StackGuard)와 같은 메모리 보호 ..

보안 2022. 8. 11. 22:08

보안기능 인증대상 및 방식 보안대책 - 중요기능이나 리소스에 대해서는 인증 후 사용 정책이 적용되어야 한다 - 안전한 인증방식을 사용하여 인증우회나 권한 상승이 발생하지 않도록 해야 한다 - 중요기능에 대해 2단계(2factor)인증을 고려해야 한다 취약점 개요 중요기능이나 리소르를 요청하는 경우 인증이 되었는지를 먼저 확인하지 않고 요청을 처리하는 경우 중요 절보나 리소스가 노출될 수 있다 설계 시 고려사항 - 중요기능이나 리소스에 대해서는 인증 후 사용정책이 적용되어야 한다. 분석단계에 분류된 중요기능에 대해 인증 후 사용 정책이 반드시 적용될 수 있도록 한다. 각각의 중요기능에서 인증을 요청하도록 구현하는 것이 쉽지 않다 시스템 설계 시 중요기능을 분류하고 식별된 중요기능에 대해 일괄적으로 인증을 ..

보안 2022. 8. 11. 22:04

보안 기능 인증대상 및 방식 설명 : 중요정보,기능의 특성에 따라 인증방식을 정의하고 정의된 인증방식을 우회하지 못하게 설계 해야 한다 보안대책 - 중요기능이나 리소스에 대해서는 인중 후 사용정책이 적용되어야 한다 - 안전한 인증방식을 사용하여 인증우회나 권한 상승이 발생하지 않도록 해야한다 - 중요기능에 대해 2단계(2factor)인증을 고려해야한다 취약점 개요 중요기능이나 리소스를 요청하는 경우 인증이 되었는지를 먼저 확인하지 않고 요청을 처리하는 경우 중요정보나 리소스가 노출될 수 있다 설계시 고려 사항 중요기능이나 리소스에 대해서는 인증 후 사용정책이 적용되어야 한다 분석단계에 분류된 중요기능에 대해 인증 후 사용 정책이 반드시 적용될 수 있도록 한다 각각의 중요기능에서 인증을 요청하도록 구현하는..

보안 2022. 8. 11. 22:03

Kr.co.korea.www 1단계 kr 2단계 co 3단계 korea Host www 실제 도메인은 www.korea.co.kr Korea.co.kr 은 site 도메인이라 일반적으로 칭하고 www 부분은 변경할 수 있은 즉 host 마다 다르게 줄 수 있음

보안/java 2022. 8. 11. 22:02

입력 데이터 검증 및 표횬 유효성 검증(Validation) : 데이터가 특정 요구사항을 충족했다는 것을 확인하여 의도치 않는 동작 방지 DBMS 조회 및 결과 검증 DBMS 조회시 질의문(SQL)내 입력값과 그 조회결과에 대한 유효성 검증방법(필터링 등) 설계 및 유효하지 않은 값에 대한 처리방법 설계 XML 조회 및 결과 검증 XML 조회시 질의문(XPath,XQuery등) 내 입력값과 그 조회결과에 대한 유효성 검증방법(필터링 등)설계 및 유효하지 않은 값에 대한 처리 방법 설계 디렉토리 서비스 조회 및 결과 검증 디렉토리 서비스(LDAP 등)를 조회할 때 입력값과 그 조회결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리 방법 설계 웹 서비스 요청 및 결과 검증 웹 서비스(게시판 ..

보안 2022. 7. 15. 06:27

프로젝트 참여인원의 역할(Role)별 보안활동 프로젝트 관리자 (Project Manager) - 팀 구성원들에게 응용프로그램의 보안 전략을 공지 - 보안위험과 비즈니스에 응용프로그램 보안의 영향을 이해시킴 예) 프로젝트 일정과 보안 위험의 상관관계 - 조직의 상태를 모니터링 기본적인 비즈니스 매트릭스 조합을 정의하고 단계별 적용 요구사항 분석가 (Requirement specifier) - 아키턱트가 고려해야할 여러가지 보안관련 비즈니스 요구사항을 자세히 설명 - 프로젝트 팀이 고려해야할 구조를 정의하고 정의된 구조에 존재하는 자원에 대한 보안 요구사항이 무엇인지 결정 - 보안 수준을 추상화 할 때 다른 프로젝트에 적용되었던 보안 요구사항을 재활용 - 유즈케이스에 대한 보안 고려 사항을 기반으로 오용사..

보안 2022. 7. 15. 06:26

디지털 서명 Digital Signature 데이터에 전자적인 서명을 하여 데이터의 작성자를 증빙 전자 서명 Electronic Signature 본인이 직접 종이 서류에 서명을 하듯 디지털에서 전자서명은 서명자가 본인임을 증명하는 인증 단계가 필요하다

보안 2022. 6. 23. 20:43

SSL 인증서에서 인증서 유효성 확인 하는 방법 OCSP(Online Certificate Status Protocol 온라인 인증서 상태 프로토콜) - 인증서 유효성을 실시간으로 확인하는 프로토콜 - 인증서가 폐기된 것인지 실시간으로 확인하는 프로토콜 CRL (Certificate Revocation List 해지 인증서 목록) - 폐기된 인증서 목록 - 일정 시간 마다 목록을 다운로드 받아 놓은 후 유효성을 확인 - 배치성 으로 다운 OCSP는 웹브라우저에서의 요청을 바로 확인해 응답을 주지만 많은 요구가 들어오면 지연이 발생 할 수 있다 OCSP의 요구에 빠르게 지원하기 위해서 OCSP stapling 기술을 사용 OCSP stapling 기술은 SSL이 적용된 웹사이트의 웹서버를 통해서 응답을 대..

보안 2022. 6. 23. 14:55