CS35 [Secure Coding] 예시 보기 CWE CVE CWE/SANS TOP 25 CWE : 일반적이 니취약점의 분류체계CVE : 발견된 보안 취약점의 히스토리각종 소프트웨어의 취약한 부분이 신규로 발견되었을 떄 등록됨 http://cwe.mitre.org/에 들어간다 CWE-89 를 검색해보자 SQL Injection에 관한 설명을 볼수 있다. 이런 코드를 짜게 된다면 해킹당할 수 있다는 것을 알려준다. CWE/SANS TOP 25CWE중에서 가장 위험한 25개 모아놓은 곳 2016. 4. 26. [Secure Coding] 보안 개발 방법론 OWASP CLASP 모든 개발자에게 보안 교육을 진행한다.청소하는 아주머니들께도 파기 관련 교육을 진행한다. OWASP는 5개의 검증을 제공한다.* 개념검증* 역할 기반 검증* 활동평가 검증* 활동 구현 검증* 취약성 검증 Microsoft SDL - 위협 모델링 작업 수행 하자 - STRIDE 위협 유형 기준으로 분류 신분 위장 (Supooping identity)데이터 변조 (Tampering with data)부인 ( Requdiation ) 사용자가 자신이 수행한 특정 액션이나 트랜잭션을 부인 - operation history를 남겨 방지한다.정보유출 (Information Disclosure)서비스 거부 (Denial of Serice Dos)권한 상승 (Elevation of Privile.. 2016. 4. 26. [Secure Coding] 보안 이론 DDos : Distributed Denial of Service * 해킹 방식의 하나로서 여러 대의 공격자를 분산 배치하여 동시에 '서비스 거부 공격(Denial of Service attack;DoS)'을 함으로써시스템이 더 이상 정상적 서비스를 제공할 수 없도록 만드는 것을 말한다. * 웹페이지가 사용자 거부 -> 서버 다운대부분의 해킹은 서버에서 이루어진다. Spring의 DI 뜻은 Dependendy Injection ( 의존성 주입 ) SQL injection : SQL 주입 공격Drop all Table 등 웹 클라이언트의 반환 메시지를 이용하여 불법 인증 및 정보를 유출하는 공격. 웹 응용 프로그램에 강제로 구조화 조회 언어(SQL) 구문을 삽입하여 내부 데이터베이스(DB) 서버의 데이터를.. 2016. 4. 26. 이전 1 ··· 6 7 8 9 다음
