CS/Secure9 [Secure Coding] 해킹방지 코드짜기 12345678910111213@RequestMapping("/attack/encoding/method1") public String encodingMethod1(HttpServletRequest request, HttpServletResponse response) { String textData = request.getParameter("text"); System.out.println("Encoding 전 : " + textData); // URLDecoder 를 이용한 Encoding textData = URLDecoder.decode(textData); System.out.println("Encoding 후 : " + textData); return "attack/encoding/encoding";.. 2016. 4. 27. [Secure Coding] Paros 64비트에서 실행 Paros : Proxy tool 웹 요청을 처리할 때 임시 저장소를 거쳐서 데이터를 가져오는 요청 및 응답의 중개자 접속이 안되게 막는 경우 -> proxy서버에서 막는다.사용자가 보낸 요청을 중간에 바꿔서 보내는 등 악성코드를 집어넣고 요청을 바꾸는 해킹을 할 수 있다. http://sourceforge.net/projects/paros 에서 paros를 다운받는다.32비트에서만 작동하므로 64비트 컴퓨터에서는 32비트용 jdk를 다운받아 실행시키면 된다.paros를 오른쪽클릭해서 속성에 들어간 다음 대상에 "C:\Program Files (x86)\Java\jdk1.8.0_73\bin\javaw.exe" -jar paros.jar 를 넣어준다. 그러면 64비트에서도 실행될 수 있다.만약 바로 실행되.. 2016. 4. 27. [Secure Coding] 예시 보기 CWE CVE CWE/SANS TOP 25 CWE : 일반적이 니취약점의 분류체계CVE : 발견된 보안 취약점의 히스토리각종 소프트웨어의 취약한 부분이 신규로 발견되었을 떄 등록됨 http://cwe.mitre.org/에 들어간다 CWE-89 를 검색해보자 SQL Injection에 관한 설명을 볼수 있다. 이런 코드를 짜게 된다면 해킹당할 수 있다는 것을 알려준다. CWE/SANS TOP 25CWE중에서 가장 위험한 25개 모아놓은 곳 2016. 4. 26. [Secure Coding] 보안 개발 방법론 OWASP CLASP 모든 개발자에게 보안 교육을 진행한다.청소하는 아주머니들께도 파기 관련 교육을 진행한다. OWASP는 5개의 검증을 제공한다.* 개념검증* 역할 기반 검증* 활동평가 검증* 활동 구현 검증* 취약성 검증 Microsoft SDL - 위협 모델링 작업 수행 하자 - STRIDE 위협 유형 기준으로 분류 신분 위장 (Supooping identity)데이터 변조 (Tampering with data)부인 ( Requdiation ) 사용자가 자신이 수행한 특정 액션이나 트랜잭션을 부인 - operation history를 남겨 방지한다.정보유출 (Information Disclosure)서비스 거부 (Denial of Serice Dos)권한 상승 (Elevation of Privile.. 2016. 4. 26. 이전 1 2 3 다음
