전체 글251 주석문 안에 포함된 시스템 주요정보 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 보안 기능 - 주석문 안에 포함된 시스템 주요 정보 가. 개요 패스워드를 주석문에 넣어두면 시스템 보안이 훼손될 수 있다. 소프트웨어 개발자가 편의를 위해서 주석문에 패스워드를 적어둔 경우, 소프트웨어가 완성된 후에는 그것을 제거하는 것이 매우 어렵게 된다. 또한, 공격자가 소스코드에 접근할 수 있다면, 아주 쉽게 .. 2020. 7. 21. 사용자 하드디스크에 저장되는 쿠키를 통한 정보노출 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 보안 기능 - 사용자 하드디스크에 저장되는 쿠키를 통한 정보 노출 가. 개요 대부분의 웹 응용프로그램에서 쿠키는 메모리에 상주하며, 브라우저의 실행이 종료되면 사라진다. 프로그래머가 원하는 경우, 브라우저 세션에 관계없이 지속적으로 저장되도록 설정할 수 있으며, 이것은 디스크에 기록되고, 다음 브라우저 세션이 시작되.. 2020. 7. 21. 취약한 비밀번호 허용 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 보안 기능 - 취약한 비밀번호 허용 가. 개요 사용자에게 강한 패스워드 조합 규칙을 요구하지 않으면, 사용자 계정이 취약하게 된다. 안전한 패스 워드를 생성하기 위해서는 「암호이용 안내서」의 패스워드 설정 규칙을 적용해야 한다. 나. 보안대책 패스워드 생성시 강한 조건 검증을 수행한다. 비밀번호(패스워드)는 숫자와 .. 2020. 7. 21. 하드코드된 암호화 키 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 보안 기능 - 하드코드 된 암호화 키 가. 개요 코드 내부에 하드코드 된 암호화 키를 사용하여 암호화를 수행하면 암호화된 정보가 유출될 가능성이 높아진다. 많은 SW 개발자들이 코드 내부의 고정된 암호키의 해시를 계산하여 저장하면 암호키를 악의적인 공격자로부터 보호할 수 있다고 믿고 있다. 그러나 많은 해시 함수들이.. 2020. 7. 21. 적절하지 않은 난수값 사용 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 보안 기능 - 적절하지 않은 난수 값 사용 가. 개요 예측 가능한 난수를 사용하는 것은 시스템에 보안약점을 유발한다. 예측 불가능한 숫자가 필요한 상황에서 예측 가능한 난수를 사용한다면, 공격자는 SW에서 생성되는 다음 숫자를 예상하여 시스템을 공격하는 것이 가능하다. 나. 보안대책 컴퓨터의 난수발생기는 난수 값을 .. 2020. 7. 21. 충분하지 않은 키 길이 사용 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 보안 기능 - 충분하지 않은 키 길이 사용 가. 개요 길이가 짧은 키를 사용하는 것은 암호화 알고리즘을 취약하게 만들 수 있다. 키는 암호화 및 복호화에 사용되는데, 검증된 암호화 알고리즘을 사용하더라도 키 길이가 충분히 길지 않으면 짧은 시간 안에 키를 찾아낼 수 있고 이를 이용해 공격자가 암호화된 데이터나 패스워.. 2020. 7. 21. 하드코드된 비밀번호 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 보안 기능 - 하드코드 된 비밀번호 가. 개요 프로그램 코드 내부에 하드코드된 패스워드를 포함하고, 이를 이용하여 내부 인증에 사용하거나 외부 컴포넌트와 통신을 하는 경우, 관리자 정보가 노출될 수 있어 위험하다. 또한, 코드 내부에 하드코드 된 패스워드가 인증 실패를 야기하는 경우, 시스템 관리자가 그 실패의 원인.. 2020. 7. 21. 중요정보 평문전송 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 보안 기능 - 중요정보 평문 전송 가. 개요 사용자 또는 시스템의 중요정보가 포함된 데이터를 평문으로 송·수신할 경우, 통신채널 스니핑을 통해 인가되지 않은 사용자에게 민감한 데이터가 노출될 수 있는 보안약점이다. 나. 보안대책 민감한 정보를 통신 채널을 통하여 내보낼 때에는 반드시 암호화 과정을 거쳐야 하며, 필요.. 2020. 7. 21. 중요정보 평문저장 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 보안 기능 - 중요정보 평문 저장 가. 개요 많은 응용프로그램은 메모리나 디스크에서 중요한 데이터(개인정보, 인증정보, 금융정보)를 처리한다. 이러한 중요 데이터가 제대로 보호되지 않을 경우, 보안이나 데이터의 무결성을 잃을 수 있다. 특히 프로그램이 개인정보, 인증정보 등의 사용자 중요정보 및 시스템 중요정보를 처.. 2020. 7. 21. 취약한 암호화 알고리즘 사용 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 보안 기능 - 취약한 암호화 알고리즘 사용 가. 개요 SW 개발자들은 환경설정 파일에 저장된 패스워드를 보호하기 위하여 간단한 인코딩 함수를 이용하여 패스워드를 감추는 방법을 사용하기도 한다. 그렇지만 base64와 같은 지나치게 간단한 인코딩 함수로는 패스워드를 제대로 보호할 수 없다. 정보보호 측면에서 취약하거나.. 2020. 7. 20. 이전 1 ··· 5 6 7 8 9 10 11 ··· 26 다음
