본문 바로가기

공부/KISA84

웹 기반 중요기능 수행 요청 유효성 검증 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 분석∙설계단계 SW 보안강화 - 설계보안항목 정의 및 설계 시 고려 사항 - 웹 기반 중요 기능 수행 요청 유효성 검증 설명 사용자 권한확인(인증 등)이 필요한 중요 기능(결제 등)에 대한 웹 서비스 요청에 대한 유효성 검증방법과 유효하지 않은 요청에 대한 처리방법을 설계해야 한다. 설계항목내용 시스템으로 전송되는 모든 요청에 대해 정상적인 사용자.. 2020. 7. 9.
웹 서비스 요청 및 결과 검증 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 분석∙설계단계 SW 보안강화 - 설계보안항목 정의 및 설계 시 고려 사항 - 웹 서비스 요청 및 결과 검증 설명 웹 서비스(게시판 등) 요청(스크립트 게시 등)과 응답 결과(스크립트 포함 웹 페이지 등)에 대한 검증 방법과 적절하지 않은 데이터에 대한 처리방법을 설계해야 한다. 설계항목내용 사용자로부터 입력받은 값을 동적으로 생성되는 응답 페이지에.. 2020. 7. 9.
시스템 자원 접근 및 명령어 수행 입력값 검증 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 분석∙설계단계 SW 보안강화 - 설계보안항목 정의 및 설계 시 고려 사항 - 시스템 자원 접근 및 명령어 수행 입력값 검증 설명 시스템 자원접근 및 명령어 수행을 위해 사용되는 입력 값에 대한 유효성 검증방법과 유효하지 않은 값에 대한 처리방법을 설계해야 한다. 설계항목내용 외부 입력값을 이용하여 시스템 자원(IP, PORT번호, 프로세스, 메모리.. 2020. 7. 9.
디렉터리 서비스 조회 및 결과 검증 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 분석∙설계단계 SW 보안강화 - 설계보안항목 정의 및 설계 시 고려 사항 - 디렉터리 서비스 조회 및 결과 검증 설명 디렉토리 서비스 조회(LDAP 등) 시 사용되는 입력값과 조회 결과에 대한 검증방법(필터링 등)을 설계 하고 유효하지 않은 값에 대한 처리방법을 설계해야 한다. 설계항목내용 LDAP 인증서버를 통해 인증을 구현하는 경우 인증 요청을.. 2020. 7. 9.
XML 조회 및 결과 검증 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 분석∙설계단계 SW 보안강화 - 설계보안항목 정의 및 설계 시 고려 사항 - XML 조회 및 결과 검증 설명 XML 조회를 위한 질의문(XPath, XQuery 등) 생성 시 사용되는 입력값과 조회 결과에 대한 검증방법 (필터링 등)을 설계하고 유효하지 않은 값에 대한 처리방법을 설계해야 한다. 설계항목내용 XML 문서를 조회하는 기능을 구현해야 .. 2020. 7. 9.
DBMS 조회 및 결과 검증 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 분석∙설계단계 SW 보안강화 - 설계보안항목 정의 및 설계 시 고려 사항 - DBMS 조회 및 결과 검증 설명 DBMS 조회를 위한 질의문(SQL) 생성시 사용되는 입력값과 조회 결과에 대한 검증방법(필터링 등)을 설계하고 유효하지 않은 값에 대한 처리방법을 설계해야 한다. - SQL Injection 설계항목내용 애플리케이션에서 DB 연결을 수행.. 2020. 7. 8.