728x90
해당내용은 <수제비 정보처리기사> 책을 참고하여 작성된 개인적인 용도의 요약본입니다.
Ⅰ소프트웨어 설계
Ⅱ 소프트웨어 개발
Ⅲ 데이터베이스 구축
Ⅳ 프로그래밍 언어 활용
Ⅴ 정보시스템 구축관리
Chapter 01 소프트웨어 개발방법론 활용
Chapter 02 IT 프로젝트 정보시스템 구축관리
Chapter 03 소프트웨어 개발 보안 구축
1. 소프트웨어 개발 보안 설계
2. 소프트웨어 개발 보안 구현
Chapter 04 시스템 보안 구축
1. 소프트웨어 개발 보안 설계
1) 입력 데이터 검증 및 표현
(1) 입력 데이터 검증 및 표현 개념
입력 데이터로 인해 발생하는 문제들을 예방하기 위해 구현 단계에서 검증해야 하는 보안 점검 항목
(2) 입력 데이터 검증 및 표현 취약점
- XSS(Cross Site Script)
- 검증되지 않은 외부 입력 데이터가 포함된 웹페이지가 전송되는 경우, 사용자가 해당 웹페이지를 열람함으로써 웹페이지에 포함된 부적절한 스크립트가 실행되는 공격
- 특수문자 등록 방지 위한 특수문자 필터링, HTML태그 사용금지, 자바스크립트로 시작하는 문자열은 모두 변환처리
- Stored XSS / Reflected XSS / DOM(Document Object Model) XSS
- SQL 삽입
- 응용 프로그램의 보안 취약점을 이용해 악의적인 SQL구문을 삽입, 실행시켜 DB에 접근해 정보탈취/조작 행위
- 사전에 변수 타입을 명시적으로 지정/ 입력될 수 있는 모든 값 체크하여 필터링 / 서블릿 필터 기능 적용
- Form / Union / Stored Procedure / Mass / Error-Based / Blind
- CSRF
- 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격
- GET보단 POST 방식. 입력폼, 입력처리 프로그램에서 세션별 CSRF 토큰 사용하여 점검. 중요기능의 재인증.
728x90
반응형
'IT관련 > JAVA_정리 노트' 카테고리의 다른 글
| [ 정보처리기사 ] 시스템 보안 구축 _ 로그, 네트워크/시스템/콘텐츠 보안솔루션, 취약점 (0) | 2021.07.15 |
|---|---|
| [ 정보처리기사 ] 소프트웨어 개발 보안 설계 _ 보안기능, 에러처리, 세션통제, 코드 오류, API오용 (0) | 2021.06.29 |
| [ 정보처리기사 ] 소프트웨어 개발 보안 설계 _ SW 개발 보안, Secure SDLC (0) | 2021.06.26 |
| [ 정보처리기사 ] 네트워크 기초 활용 _ TCP/UDP (0) | 2021.06.22 |
| [ 정보처리기사 ] 네트워크 기초 활용 _ IP (0) | 2021.06.20 |
댓글