'소스코드'에 해당되는 글 5건

  1. 2014.03.15 SW 보안 약점 진단 47개 진단항목 (1)
  2. 2013.10.04 어도비 해킹! 290만명 고객정보·소스코드 유출
  3. 2012.08.13 모바일 전자정부서비스 앱 소스코드 보안성 검증 안내서(V2.0)
2014.03.15 09:38

SW 보안 약점 진단 47개 진단항목

소스코드 취약점 진단컨설팅은 전자정부 SW개발단계부터 소스코드 보안약점 진단·제거 의무화에 따른 어플리케이션 개발 시 개발자에게 SW 보안 코딩 설계방안 제시 및 대응 할 수 있도록 하는데 목적이 있습니다.

평가대상

’12.12월 사업비 40억원이상 → ’14.1월 20억이상 → ’15.1월 5억이상 
범위 : 소스코드(신규개발 전체 및 유지보수로 변경된 부분), 단, 상용SW 제외

평가절차 
진단항목7개 유형 47개 진단항목(입력 데이터 검증 및 표현, 보안기능, 시간 및 상태, 에러처리, 코드오류, 캡슐화, API 오용)

유형주요내용개수 (47)
입력 데이터 검증 및 표현프로그램 입력 값에 대한 부적젃한 검증 등으로 인해 발생할 수 있는 보안약점  
1. SQL 삽입
2. 경로 조작 및 자원 삽입
3. 크로스사이트 스크립트
4. 운영체제 명령어 삽입
5. 위험한 형식 파일 업로드
6. 신뢰되지 않는 URL 주소로 자동접속 연결
7. XQuery 삽입
8. XPath 삽입
9. LDAP 삽입
10. 크로스사이트 요청 위조
11. HTTP 응답분할
12. 정수형 오버플로우
13. 보안 기능 결정에 사용되는 부적절한 입력값
14. 메모리 버퍼 오버플로우
15. 포맷 스트링 삽입
15
보안기능인증, 접근제어, 권한 관리 등을 적젃하지 않게 구현시 발생할 수 있는 보안약점  
1. 적절한 인증 없는 중요 기능 허용
2. 부적절한 인가
3. 중요한 자원에 대한 잘못된 권한 설정
4. 취약한 암호화 알고리즘 사용
5. 중요정보 평문저장
6. 중요정보 평문전송
7. 하드코드된 비밀번호
8. 충분하지 않은 키길이 사용
9. 적절하지 않은 난수 값 사용
10. 하드코드된 암호화 키
11. 취약한 비밀번호 허용
12. 사용자 하드디스크에 저장되는 쿠키를 통한 정보노출
13. 주석문 안에 포함된 시스템 주요정보
14. 솔트 없이 일방향 해쉬 함수 사용
15 무결성 검사 없는 코드 다운로드
16. 반복된 인증시도 제한 기능 부재
16
시간 및 상태멀티프로세스 동작환경에서 부적젃한 시간 및 상태 관리로 발생할 수 있는 보안약점

1. 경쟁조건: 검사시점과 사용시점(TOCTOU)
2. 종료되지 않는 반복문 또는 재귀함수

2
에러처리불충분한 에러 처리로 중요정보가 에러정보에 포함되어 발생할 수 있는 보안약점
1. 오류메시지를 통한 정보노출
2. 오류 상황 대응 부재
3. 부적절한 예외 처리
3
코드오류개발자가 범할 수 있는 코딩오류로 인해 유발되는 보안약점
1. Null Pointer 역참조
2. 부적절한 자원 해제
3. 해제된 자원 사용
4. 초기화되지 않은 변수 사용
4
캡슐화불충분한 캡슐화로 인가되지 않은 사용자에게 데이터가 노출될 수 있는 보안약점 
1. 잘못된 세션에 의한 데이터 정보 노출
2. 제거되지 않고 남은 디버그 코드
3. 시스템 데이터 정보노출
4. Public 메소드로부터 반환된 Private 배열
5. Private 배열에 Public 데이터 할당
5
API오용부적절하거나, 보안에 취약한 API 사용으로 발생할 수 있는 보안약점 
1. DNS lookup에 의존한 보안 결정
2. 취약한 API 사용
2



  • 소스코드 취약점 50~60% 감소 
  • 유지보수단계의 비용보다 60배 절감
  • ROI(투자수익율) 21% 이상 향상
<SW 개발단계별 결함 수정비용 분석>
구분설계단계코딩단계통합단계베타제품제품출시
설계과정결함1배5배10배15배30배
코딩과정결함 1배10배20배30배
통합과정결함  1배10배20배



출처 : kisac.co.kr


Trackback 0 Comment 1
  1. Favicon of https://blog.pages.kr 날으는물고기 2014.03.15 10:41 신고 address edit & del reply

    시큐어 코딩(Secure Coding)
    프트웨어 보안 약점을 전자정부 서비스 개발단계에서 제거하기 위해 정보시스템 구축 시 ‘소프트웨어 개발보안(시큐어 코딩)’을 의무화

2013.10.04 18:02

어도비 해킹! 290만명 고객정보·소스코드 유출

아이디·암호화된 비밀번호·고객이름 등 고객정보 및 소스코드 유출

http://www.boannews.com/media/view.asp?idx=37894&kind=0




어도비시스템즈 사에서 확인되지 않은 외부 공격을 통해 290만명의 고객정보와 40GB에 달하는 Adobe 제품의 소스코드가 외부로 유출됐다고 공식 발표했다.


지난 3일(현지시각) 어도비시스템즈 사의 브래드 아킨 최고 보안책임자에 따르면 “우리의 제품이 많은 사람들에게 광범위하게 사용된다는 점에서 어도비는 사이버공격의 타깃이 되고 있다”며 “이번 사건은 2013년 8월 8일경 발생한 것으로 추정되는데, 해커가 불법으로 고객정보 접근할 뿐만 아니라 다양한 어도비 제품에 대한 소스 코드를 포함하는 정교한 공격을 감행한 것으로 보인다”고 밝혔다.


현재 조사된 바로는 제품 주문을 위한 고객이름, 암호화된 신용카드 또는 직불카드 번호, 만료 날짜 및 기타 정보 등을 포함한 290만명의 고객정보가 유출됐다는 것. 또한, 유출된 40GB 용량의 Adobe 제품군 소스코드에는 웹 어플리케이션 플랫폼 제품인 Adobe ColdFusion, Adobe Acrobat 제품을 비롯한 다양한 Adobe 제품군이 포함되어 있다고 밝혔다.



출처 : 보안뉴스


Trackback 0 Comment 0
2012.08.13 19:02

모바일 전자정부서비스 앱 소스코드 보안성 검증 안내서(V2.0)

정보보호정책과-2097(2012.8.3, 모바일 앱 소스코드 보안성 검증 안내서 보급), 미래정보화과-1556(2011.9.5 ) 및 미래정보화과-910(2012.5.9, 모바일 전자정부 관련 가이드라인 2종 배포)호와 관련입니다. 

행정기관등이 안전한 모바일 서비스를 개발하여 각종 사이버위협으로부터 예방ㆍ대응코자 함 
SW 개발단계부터 보안약점을 제거하는 'SW 개발보안 의무화’ 및 '모바일 전자정부 지원센터 개소('12.5.10)’에 따른 『앱 소스코드 보안성 검증 안내서』를 개정ㆍ보급하오니 적극 활용하시기 바랍니다. 

ㅇ 적용 대상 : 중앙ㆍ지자체의 신규 개발되는 모든 모바일 앱(하이브리드 앱 포함) 
ㅇ 가이드 내용 : 앱 소스코드 보안성 검증 기준ㆍ절차 등을 안내 
ㅇ 검증 기관 : 한국인터넷진흥원(KISA) ※ 문의: KISA 방지호 책임 02-405-5342 
ㅇ 검증 신청방법 및 검증내용: 붙임 안내서 참고 ※ 한국인터넷진흥원으로 신청 

※ KISA 검증 완료 → 모바일 전자정부 지원센터에서 서비스 검증 후 저장 및 배포 

붙임1. 모바일 전자정부서비스 앱 소스코드 보안성 검증 안내서(2판) 
붙임2. (별지) 서식문서 



모바일 전자정부서비스 앱 소스코드 보안성 검증 안내서(V2.0).pdf

(별지) 서식문서.hwp


출처 : 행정안전부


Trackback 0 Comment 0