Jeon's blog

1. http://www.oracle.com/technetwork/developer-tools/sql-developer/downloads/index.html 접속 2. OS에 맞는 Sql Developer download 3. sqldeveloper.exe 실행 4. 설치 된 JAVA / JDK 폴더 선택 5. YES 6. NO 7. 설치 완료 8. HR 계정 설정을 위해 시작 -> Run SQL Command Line 실행 9. 아래와 같이 설정SQL> connectEnter user-name: systemEnter passwordk : Oracle Database 11g Express Edition 설치시 설정했던 비밀번호SQL> alter user hr account unlock; (hr 계정 설정..

SW 개발보안 의무제가 시행되며 안전행정부의 개발 가이드가 보급됨. 7개 카테고리의 총 47개 항목으로 구성. 별첨 : 안행부 시큐어 코딩 가이드_JAVA

웹 프로그래밍과 관련해 가장 많이 발생하는 취약점을 정리한 사이트 애플리케이션 보안을 전문으로 하는 7개 기업의 8개 데이터 세트를 토대로 작성 데이터 세트는 수백 개의 기업, 수천개의 애플리케이션에서 발생된 50만개 이상의 취약점을 포함함. OWASP TOP 10 리스트를 제공한다. 별첨7) OWASP Top 10 참고

프로그래밍 언어별 Secure Coding Standard 제공. 각 언어의 사용자 및 학습자가 수월하게 사용할 수 있도록 제공. http://www.cert.org https://www.securecoding.cert.org/confluence/display/c/CERT+C+Coding+Standard (안전한 C 코딩 표준 개발 가이드) https://www.securecoding.cert.org/confluence/display/java/CERT+Oracle+Coding+Standard+for+Java (안전한 자바 코딩 표준 개발 가이드) JAVA Secure Coding 표준 가이드. 별첨6) JAVA Secure Coding Standard Guide 참고

1989년 설립된 산학 협동 연구소. CWE/SANS TOP 25 Most Dangerous Software Errors 가장 위험한 25가지의 소프트웨어의 오류를 정리한 목록 취약점을 줄이거나 완화할 수 있는 주요 완화방법 제시. http://sans.org SANS TOP 25 구성요소간 안전하지 않은 상호작용 (6 Errors) - 별도의 구성요소, 모듈, 프로그램, 프로세스, 스레드, 시스템간의 데이터가 안전하게 전송/수신되지 않는 것에 관련된 취약점 정의 위험한 자원 관리 (8 Errors) - 소프트웨어가 중요한 시스템 리소스에 대해 생성, 사용, 전송, 파괴 관리를 하지 않아 발생되는 취약점. 방어 미비 (11Errors) - 종종 오용, 남용 또는 방어기술 우회와 관련된 취약점들을 정의.

각종 소프트웨어의 취약한 부분이 신규로 발견되었을 때 등록됨. 매년 천 여개의 목록이 신규로 추가되고 있음. CWE : 일반적인 취약점의 분류 체계 CVE : 발견된 보안 취약점의 히스토리. http://cve.mitre.org

해당 취약점에 대한 정의, 설명, 해당 취약점의 플랫폼(언어), 빈도 및 에제코드, 완화 방법 기술. http://cwe.mitre.org 미 국토 안보부 (The U.S. Department of Homeland Security) 에서 관리 소프트웨어의 취약점을 사전식으로 분류. 수집된 취약점을 뷰, 카테고리, 취약점, 복합 요소를 기준으로 분류.

소프트웨어 개발 프로세스별 보안 활동(국내 안행부에서 만든 것) 시작 단계 보안 프로세스 개발되는 애플리케이션의 개발목적을 정의. 업무현황 파악과 애플리케이션 개발과정에 적용되어야 하는 보안정책 검토. 위험 분석 및 조직 전체에 적용되는 보안 계획 등 작성. 1) 업무현황 파악 보안 요소별 보안 등급 구분 예 2) 보안정책 검토 보안정책 검토 형식 예 3) 보안 계획 수립 보안계획서 양식 예 4) 보안계획 검토 보안계획 검토 결과서 양식 예 5) 시작 단계 보안활동에 대한 점검 보안활동 점검표 분석 단계 보안 프로세스 1) 보안 요구사항 정의 시작단계의 “보안계획 검토결과서”를 토대로 보안 요구사항과 보안 계획간의 일치성을 확인한다. 기술적 측면, 관리적 측면으로 분류해 보안 요구사항을 정의. 기술적 측..

Microsoft SDL 설계 단계 위협모델링 방법 Step 1 위협 모델링을 수행하기 위해 보안팀 구성. 보안팀의 리더는 해킹 / 침해사고 분석 및 대응 전문가가 적합 Step 2 애플리케이션 분해 작업 수행. 위협 모델링을 수행해야 하는 애플리케이션에 대해 기능과 데이터 흐름을 기준으로 애플리케이션을 분해함. Step 3 위협 추출 -> STRIDE 위협 유형 기준으로 분류 Step 4 도출된 위협에 대한 위험도 계산 -> DREAD 위험도 분류 이용, 가장 위협적인 요소들이 먼저 제거될 수 있도록 한다. Step 5 대응 기법 선택 -> 위협모델링을 통해 해당 위협이 발생했을 때 대응 방법에 대한 정의도 함께 요구됨. 일반적으로 침해 사고가 발생한 경우 대응 방법은 아래의 대응기법 중 하나가 될 수..

Microsoft SDL (Security Development Lifecycle - 실제 실무에서 많이 사용) SDL을 통한 소프트웨어 개발 프로세스 개선 (수행 후 에러 및 해킹률이 50% 이하로 떨어짐) 스마트 퍼징(smart fuzzing) : 가이드대로 입력 값을 넣어주는 방식 덤브 퍼징(dumb fuzzing) : 아무 값이나 넣어보고 오류를 진단하는 방식 1. 교육 단계 프로젝트 진행 전, 참가인원을 대상으로 소프트웨어 개발 보안 교육 실시. 2. 계획/분석, 설계 단계 소프트웨어의 전체적인 요건과 구조를 제시. 보안 구조 및 설계 지침 정의 소프트웨어 전체 구로를 보안 관점에서 결정. 시스템 보안이 필수적인 소프트웨어의 부분 확인 소프트웨어 공격 외형 요소 기록 사용자의 범위에 따라 노출범..