책소개

최근 SQL 삽입 공격 등 SW에 내포된 보안취약점을 이용하여 개인정보 등의 중요정보가 유출된 소니(Sony),페이팔(PayPal),홍콩증권거래소의 웹사이트 공격이 대표적인 예라고 할 수 있다. ‘SW개발보안’은 SW 개발과정에서 개발자의 실수, 논리적 오류 등으로 인해 SW에 내포될 수 있는 보안취약점 원인, 즉 보안약점을 최소화하는한편, 사이버보안위협에 대응할 수 있는 안전한 SW를 개발하기 위한 일련의 보안활동을 의미한다.

저자소개

목차

제1장 개요 
 제1절 배경 
 제2절 가이드 목적및구성 

제2장 소프트웨어 개발보안 
 제1절 개요 10 
제2절 소프트웨어 개발보안체계11 
제3절 정보화사업단계별 소프트웨어 개발보안활동13 
제4절 소프트웨어 보안약점유형17 

제3장 소프트웨어 개발보안기법 20 
제1절 입력데이터 검증및표현 20 
 1.SQL 삽입 20 
 2. 경로조작및자원삽입 27 
 3. 크로스사이트스크립트34 
 4.운영체제 명령어삽입37 
 5.위험한형식파일업로드41 
 6.신뢰되지않은 URL주소로 자동접속연결44 
 7.XQuery 삽입47 
 8.XQuery 삽입50 
 9.LDAP삽입53 
 10.크로스사이트요청위조57 
 11.HTTP응답분할60 
 12.정수형 오버플로우63 
 13.보안기능결정에 사용되는부적절한입력값66 
 14.메모리버퍼오버플로우68 
 15.포맷스트링삽입72 

제2절 보안기능 75 
 1. 적절한인증없는 중요기능허용75 
 2. 부적절한인가78 
 3. 중요한자원에 대한 잘못된 권한 설정82 
 4. 취약한 암호화 알고리즘사용85 
 5. 중요정보 평문저장89 
 6. 중요정보 평문전송92 
 7. 하드코드된비밀번호98 
 8. 충분하지 않은 키 길이 사용102 

제3절 시간 및 상태 
1. 경쟁조건 : 검사시점과 사용시점(TOCTOU) 
 2. 종료되지 않는 반복문 또는 재귀 함수 

 제4절 에러처리 
1. 오류메시지를 통한 정보노출 
2. 오류 상황 대응 부재 
3. 부적절한 예외 처리 

 제5절 코드오류 
1. Null Pointer 역참조 
2. 부적절한 자원 해제 
3. 해제된 자원사용 
4. 초기화되지 않은 변수 사용 

 제6절 캡슐화 
1. 잘못된 세션에 의한 데이터 정보노출 
2. 제거되지 않고 남은 디버그 코드 
3. 시스템 데이터 정보노출 
4. Public 메소드부터 반환된 Private 배열 
5. Private 배열에 Public 데이터 할당 

 제7절 API 오용 
1. DNS lookup에 의존한 보안결정 
3. 취약한 API 사용 

 부록 
 제1절 용어정의 
 제2절 소프트웨어 보안약점 항목 
 제3절 소프트웨어 보안약점 신구대비표 
 제4절 참고자료