본문 바로가기

보안코딩3

SW 보안 약점 진단 47개 진단항목 소스코드 취약점 진단컨설팅은 전자정부 SW개발단계부터 소스코드 보안약점 진단·제거 의무화에 따른 어플리케이션 개발 시 개발자에게 SW 보안 코딩 설계방안 제시 및 대응 할 수 있도록 하는데 목적이 있습니다.평가대상’12.12월 사업비 40억원이상 → ’14.1월 20억이상 → ’15.1월 5억이상 범위 : 소스코드(신규개발 전체 및 유지보수로 변경된 부분), 단, 상용SW 제외평가절차 진단항목7개 유형 47개 진단항목(입력 데이터 검증 및 표현, 보안기능, 시간 및 상태, 에러처리, 코드오류, 캡슐화, API 오용) 유형주요내용개수 (47)입력 데이터 검증 및 표현프로그램 입력 값에 대한 부적젃한 검증 등으로 인해 발생할 수 있는 보안약점 1. SQL 삽입 2. 경로 조작 및 자원 삽입 3. 크로스사이트.. 2014. 3. 15.
mysqli 활용한 SQL Injection 예방 SQL Injection 예방을 위한 DB 쿼리 방식을 mysqli 를 활용하여 Executes a prepared Query 방식을 통해 안전한 DB 쿼리를 할 수 있다. 이에 대한 예제를 참고로 기존 코드 및 차후 코드를 변경하는 것이 보안성 및 편리성을 추구할 수 있다. 아래에서 동일한 기능을 하는 간단한 예제 두가지 방식을 제시한다. Example #1 Object oriented style Example #2 Procedural style 위 예제의 출력: Stuttgart (DEU,Baden-Wuerttemberg) Bordeaux (FRA,Aquitaine) 예제 출처 : http://kr.php.net/ 2009. 9. 21.
프로그램 취약성 점검 및 보안 코딩을 위한 방안 비교 1. 소스 보안 분석 툴 활용 포티파이 SCA(Fortify Source Code Analysis) 4.0 클록워크(Klockwork) K7,5, 온스 랩스(Once Labs)의 온스 4.1 아모라이즈(armorize)의 Securecode 컴퓨웨어(Compuware)의 DevPartner Security checker 사용시점 : 개발시 부터 활용 가능 사 용 자 : 개발자 적용기간 : 1주일 이내/Web Application 금 액 : 2~3천/개발자(최소 사용자수 제한으로 가격 매우 고가) 리 뷰 : 어플리케이션 보안의 가장 근본적인 대책은 소스보안 이라는 부분에서 접근하였으나 비용 측면에서 매우 고가이며, 툴은 툴 일뿐이라는 상식 을 벗어나지는 못함. 단 점 : 투자대비 효과 측면에서 타 솔루션과.. 2009. 9. 16.