정보보호 한잔

1. 개요 사용자 브라우저에 검증되지 않은 외부 입력값을 허용하여 악의적인 스크립트가 실행 가능한 보안약점2. 보안대책 - 문자열 치환 함수 사용: 문자열 치환 함수를 사용하여 & " ' /( ) 등을 & < > " ' / ( )로 치환- 알려진 보안 라이브러리 사용: JSTL 또는 잘 알려진 크로스 사이트 스크립트 방지 라이브러리(Lucy-XSS-Filter, OWASP ESAPI) 사용- 정규식 사용: 입력값에 대해 정규식을 이용하여 정확하게 허용되는 패턴의 데이터만 입력되도록 한다.- XSS 필터 사용: 서버로 들어오는 모든 요청에 대해 XSS 필터를 적용하여 안전한 값만 전달되어 사용되도록 한다.- 출력값 인코딩, XSS필터 적용: 출력값에..

1. 개요시스템 자원 접근경로나 자원제어 명령어에 검증되지 않은 외부 입력값을 허용하여 시스템 자원에 무단 접근 및 악의적인 행위가 가능한 보안약점 - 진단방법(경로조작)파일객체를 사용하는지 확인하고, 파일에 대한 접근이 외부에서 직접 접근하는지 확인한다. 외부 입력 값이 경로 순회 문자열에 대한 제거없이 사용되면 경로의 변경이 가능하게 되어 취약하다.- 진단방법(자원삽입)파일명, 소켓 포트 등과 같이 자원을 사용하는지 확인하고, 자원에 대한 외부 직접 접근 여부를 확인한다.2. 보안대책- 유효성 검사: 외부입력값을 자원의 식별자로 사용하는 경우, 철저히 검증을 수행한 후 사용한다. - 화이트리스트: 사용자별 사용 가능한 자원을 사전에 리스트로 정의하여 사용 범위를 제한한다. - 위험문자 필터: 파일을 ..

1. 개요프로세스가 외부 입력 값을 코드(명령어)로 해석·실행할 수 있고 프로세스에 검증되지 않은 외부 입력 값을 허용한 경우 공격자에 의해 악의적인 코드가 실행 가능한 보안약점 2. 보안대책 - 취약한 함수 사용 지양: 동적코드를 실행할 수 있는 함수를 사용하지 않는다. - 화이트리스트: 실행 가능한 동적코드를 입력 값으로 받지 않도록, 외부 입력 값에 대하여 화이트리스트 방식으로 구현한다.- 유효성 검사: 유효한 문자만 포함하도록 동적 코드에 사용되는 사용자 입력 값을 필터링한다. 3. 코드예제※ 아래 예제들은 KISA의 소프트웨어 개발보안 가이드, SW 보안약점 진단가이드의 예제를 옮겨놓았습니다. [안전하지 않은 코드 - JAVA]//취약예시1public class CodeInjectionContr..

1. 개요 데이터베이스(DB)와 연동된 웹 응용프로그램에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우, 공격자가 입력 폼 및 URL 입력란에 SQL 문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 보안약점 2. 보안대책 - 정적 쿼리 사용: PreparedStatement 객체를 이용하여 컴파일 된 정적 쿼리문(상수)으로 쿼리문의 구조가 외부의 값을 통해 바뀌지 않도록 한다. C#에서는 @, MyBatis에서는 #, JAVA 에서는 ?을 이용하여 파라미터 바인딩을 사용한다.- 유효성 검사: 동적 쿼리를 사용해야 한다면, 입력값에 대하여 쿼리문의 구조를 변경할 수 있는 특수문자 및 쿼리 예약어를 검사(필터링)한 후 쿼리문 생성에 사용한다. - 보안 모듈 사용: 스트러츠(Struts), ..

구분설계 항목보안약점입력 데이터 검증 및 표현(10개)DBMS 조회 및 결과 검증- SQL 삽입XML 조회 및 결과 검증- XML 삽입 - 부적절한 XML 외부개체 참조디렉토리 서비스 조회 및 결과 검증- LDAP 삽입시스템 자원 접근 및 명령어 수행 입력값 검증- 코드 삽입 - 경로 조작 및 자원 삽입 - 서버사이드 요청 위조 - 운영체제 명령어 삽입웹 서비스 요청 및 결과 검증- 크로스사이트 스크립트(XSS)웹 기반 중요 기능 수행 요청 유효성 검증- 크로스사이트 요청 위조(CSRF)HTTP 프로토콜 유효성 검증- HTTP 응답분할 - 신뢰되지 않은 URL주소로 자동접속 연결허용된 범위내 메모리 접근- 메모리 버퍼 오버플로우 - 포맷 스트링 삽입보안기능 입력값 검증- 보안기능 결정에 사용되는 부적절..

사유 1. ISMS-P - 2.10.8 패치관리 소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신 패치를 적용하여야 한다. 다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우 별도의 보완대책을 마련하여 이행하여야 한다. 2. PCI-DSS Ver 3.2.1 - 6.2, 6.2a - 모든 시스템 구성 요소 및 소프트웨어는 공급업체가 제공하는 적용 가능한 보안 패치를 설치하여 알려진 취약성으로부터 보호되도록 한다. 중요한 보안 패치는 발표된지 1개월 이내에 설치한다. - 보안 패치 설치와 관련된 정책 및 절차를 검토하여 프로세스가 다음 내용에 대해 정의되어 있는지 확인한다 • 공급업체가 제공하는 적용 가능한 중요 보안 패치는 발표된지 1개월 이내에 설치 • 공급업..

정의 및 목적(NICE 평가정보 기준) 기업의 부도 가능성을 평가하여 기업 신용위험의 상대적인 수준을 서열화 한 뒤, 위험 수준이 유사한 기업들을 동일한 등급으로 계량화한 지표입니다.금융기관에서는 내부 신용평가시스템을 통해 차주의 부도 위험을 평가한 ‘차주 등급’과 개별 여신에 대한 손실위험과 관련하여 특정 거래 요인을 평가하는 ‘여신 등급’의 이원화된 체계로 운영하고 있습니다.재무건전성 평가에서 전달받는 기업 신용평가는 개별 기업 고유의 신용위험을 평가한 ‘차주 등급’을 의미합니다. 기업 신용등급은 금융기관 등에서 기업의 신용위험을 바탕으로 의사결정이 필요한 경우(신용거래를 설정하거나 유지하고자 할 때), 참고지표로 활용 가능합니다. 기업 신용등급 체계 및 정의신용등급등급 정의AAA상거래를 위한 신용능..

정보통신서비스 사업자가 개인정보 이전시에는 정보통신망법과 개인정보보호법의 적용을 받습니다. (물론 정보통신서비스 사업자는 우선적으로 정보통신망법이 적용됩니다.) 관련 법안으로 정보통신망법 제26조 (영업의 양수 등에 따른 개인정보의 이전)개인정보보호법 제 27조 (영업 양도 등에 따른 개인정보의 이전 제한) 가 있습니다. 1. 정보통신서비스 제공자등이 영업의 전부 또는 일부의 양도·합병 등으로 그 이용자의 개인정보를 타인에게 이전하는 경우에는 미리 다음 각 호의 사항 모두를 인터넷 홈페이지 게시, 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알려야 합니다.- 개인정보를 이전하려는 사실- 개인정보를 이전받는 자(이하 "영업양수자등"이라 한다)의 성명(법인의 경우에는 법인의 명칭을 말한다. 이하 ..

안녕하세요.오늘은 버그바운티에 대한 소개를 할까 하는데요.여러 군데에서의 자료를 취합하여 정리한 자료로 다소 지저분하거나 보충 설명이 필요한 부분이 있을 수 있습니다. 확인해 보시고 많은 조언 부탁드리겟습니다. 1. 버그바운티(Bug Bounty) 소개버그바운티란 Bug(버그, 에러, 취약점) + Bounty(현상금)의 합성어로 웹 서비스나 소프트웨어의 취약점을 찾아주는 화이트 해커들에 대해 보상을 하는 제도입니다.버그바운티를 하는 화이트 해커를 Bug Hunter 라고 부르고 있으며 그중에서도 전업으로 버그바운티를 하는 능력있는 화이트 해커를 Super Hunter라고 부르기도 합니다.버그바운티는 넷스케이스 사의 직원의 건의로 1996년 처음 시행이 됬으며 당시 모자이크/ 넷스케이프/ 모질라 브라우져 ..