OWASP CLASP
모든 개발자에게 보안 교육을 진행한다.
청소하는 아주머니들께도 파기 관련 교육을 진행한다.
OWASP는 5개의 검증을 제공한다.
* 개념검증
* 역할 기반 검증
* 활동평가 검증
* 활동 구현 검증
* 취약성 검증
Microsoft SDL
- 위협 모델링 작업 수행 하자
- STRIDE 위협 유형 기준으로 분류
신분 위장 (Supooping identity)
데이터 변조 (Tampering with data)
부인 ( Requdiation ) 사용자가 자신이 수행한 특정 액션이나 트랜잭션을 부인 - operation history를 남겨 방지한다.
정보유출 (Information Disclosure)
서비스 거부 (Denial of Serice Dos)
권한 상승 (Elevation of Privilege)
-DREAD 위험도 분류 이용, 가장 위협적인 요소들이 먼저 제거 될 수 있도록 한다. [위험도 계산]
예상 피해
재현 확률
공격 용이도
영향을 받는 사용자
발견 용이성
-대응 기법 선택 -> 위협 모델링을 통해 해당 위협이 발생했을 때 대응 방법에 대한 정의도 함께 요구됨.
일반적으로 침해 사고가 발생한 경우 대응 방법은 아래의 대응기법 중 하나가 될 수 있다.
문제점 무시
문제점 알림
문제점 제거
문제점 수정
'CS > Secure' 카테고리의 다른 글
| [Secure Coding] 비밀번호 암호화 하기 (4) | 2016.04.28 |
|---|---|
| [Secure Coding] 해킹방지 코드짜기 (0) | 2016.04.27 |
| [Secure Coding] Paros 64비트에서 실행 (4) | 2016.04.27 |
| [Secure Coding] 예시 보기 CWE CVE CWE/SANS TOP 25 (0) | 2016.04.26 |
| [Secure Coding] 보안 이론 (0) | 2016.04.26 |
