책소개

소프트웨어(SW) 개발보안’ 은 SW 개발과정에서 개발자의 실수, 논리적 오류 등으로 인해 SW에 내포될 수 있는 보안취약점의 원인, 즉 보안약점을 최소화 하는 한편, 사이버 보안위험에 대응할 수 있는 안전한 SW를 개발하기 위한 일련의 보안활동을 의미한다. 광의적 의미로는 SW 개발생명주기의 각 단계별로 요구되는 보안활동을 모두 포함하며, 협의적의미로는 SW 개발과정 중 소스코드 구현단계에서 보안약점을 배제하기 위한 ‘시큐어코딩(secure coding)을 의미한다‘

저자소개

목차

제 1장 개요 
01 제1절 배경 
02 제2절 가이드 목적 및 구성 

제2장 시큐어코딩 가이드 
03 제1절 입력데이터 검증 및 표현 
1. SQL 삽입3 
 2. 자원 삽입8 
 3. 크로스사이트 스크립트10 
 4. 운영체제 명령어 삽입15 
 5. LDAP 삽입19 
 6. 디렉터리 경로조작21 
 7. 정수 오버플로우29 
 8. 보호 메커니즘을 우회할 수 있는 입력값 변조33 
 9.스택에 할당된 버퍼 오버플로우40 
 10. 힙에 할달된 버퍼 오버플로우44 
 11.LDAP 처리48 
 12. 시스템 또는 구성 설정의 외부 제어50 
 13. 프로세스 제어53 
 14. 버퍼 시작지점 이전에 쓰기57 
 15. 범위 초과해서 읽기59 
 16. 검사되지 않은 배열 인덱싱61 
 17. 널 종료 문제65 
 18. 의도하지 않은 부호 확장69 
 19. 무부호 정수를 부호정수로 타입변환오류73 

제 2절 보안기능 
1. 부적절한 인가77 
 2. 중요한 자원에 대한 잘못된 권한허용82 
 3. 취약한 암호와 알고리즘 사용84 
 4. 사용자 중요정보 평문저장(또는 전송)87 
 5. 하드코드된 패스워드93 
 6. 충분하지 않은 키 길이 사용96 
 7. 적절하지 않은 난수 값의 사용99 
 8. 패스워드 평문저장102 
 9. 하드코드된 암호화 키107 
 10. 주석문안에 포함된 패스워드 등 시스템 주요정보111 
 11. 솔트없이 일방향 해쉬 함수사용114 
 12. 하드코드된 사용자 계정120 
 13. 잘못된 권한 부영124 
 14. 최소 권한 적용 위배128 
 15. 취약한 암호화: 적절하지 못한 RSA패딩132 
 16. 취약한 암호화 해쉬함수: 하드코드된 솔트134 
 17. 같은 포트번호로의 다중연결138 

 140 제3절 시간 및 상태 
1. 경쟁조건: 검사시점과 사용시점140 
 2. 제대로 제어되지 않은 재귀147 
 3. 심볼릭명이 정확한 대상에 매핑되어 있지않음149 

 152 제4절 에러 처리 
1. 오류 메시지 통한 정보 노출152 
 2. 오류상황 대응 부재156 
 3. 적절하지 않은 예외처리159 

제5절 코드 오류 
1. 널(Null)포인터 역참조 
2. 부적절한 자원 해제 
3. 부호 정수를 무부호 정수로 타입 변환 오류 
4. 정수를 문자로 변환 
5. 스택 변수 주소 리턴 
6. 매크로의 잘못된 사용 
7. 코드정확성 : 스택 주소 해제 
8. 코드 정확성: 스레드 조기 종료 
9. 무한 자원 할당 

 제6절 캡슐화 
1. 제거되지 않고 남은 디버그 코드 
2. 세스템 데이터 정보노출 

 제7절 API 오용 
1. DNS lookup에 의존한 보안결정 
2. 위험하다고 알려진 함수 사용 
3. 작업 디렌터리 변경 없는 chroot Jail 생성 
4. 오용: 문자열 관리 
5. 다중 스레드 프로그램에서 getlogin() 사용 

제3장 용어정리 및 참고문헌 
 제1절 용어정리 
 제2절 참고문헌