7주차

23問 • 1年前

問題一覧

소프트웨어 개발 보안 요구사항을 설계에 반영할 때 고려할 사항 3가지

소프트웨어 개발보안 계획이나 조직의 표준(기술, 비즈니스 요건)에 적합여부 확인 실제 소프트웨어 개발보안이 가능한지 여부를 판단 보안요구사항을 분석하여 소프트웨어 개발보안 설계에 적절히 반영

소프트웨어 개발 보안의 환경을 설계에 반영할 때 고려할 사항 3가지

외부 사이버 공격으로부터 개발/운영 환경 보호를 위해 네트워크 보안환경을 구성 개발/운영에 필요한 네트워크를 분리하고 소프트웨어 개발도 분리하여 다른 접근 경로로 구성 DMZ 구간에 설치될 소프트웨어 개발의 네트워크 접근과 소프트웨어 개발의 계정관리 체계를 점검하여 구성

소프트웨어 개발 보안 계획 수립 다섯 단계를 순서대로 나열

1. 시작 : 개발목적, 계획, 전략 수립 2. 분석 : 사용자 요구사항 정의 3. 설계 : 상세 요구사항 명세서 작성 4. 구현 : 개발 5. 시험 : 프로그램 통합 시험

보안 취약점 진단을 수행하기 위해 필요한 환경 중 진단서버

취약점 진단을 수행하기 위해 필요한 CPU, 메모리 등 각종 하드웨어가 장착된 서버

보안성이 강화된 응용프로그램 구현을 위해 작성할 취약점 점검 계획서에 들어갈 내용 3가지

취약점 점검 범위 취약점 접근 방법 취약점 점검 일정

시큐어 코딩의 목적

보안 취약점과 결함방지 안전한 대고객 서비스 확대 안정성 및 신뢰성 확보

소프트웨어 보안 약점 중 크로스사이트 스크립트에 대해 설명

검증되지 않은 외부 입력 값에 의해 브라우저에서 악의적인 코드가 실행되는 보안약점

보안결함 등급을 결정하는 공식

보안결함 등급 = 영항도 X 긴급도 보안결함 등급 = 잠재적 손실의 영항 X 해결시간의 중요성

정적분석의 특징

SW 개발 초기에 보안약점 발견으로 수정 비용 절감 컴포넌트 간 발생할 수 있는 통합된 보안 약점 발견은 제한적임 설계•구조 관점의 보안약점은 발견할 수 없음

동적분석의 특징

소스코드 필요 없음 정확도와 커버리지 향상 도구 사용자의 수준에 영항을 받음 구조 관점의 보안약점은 발견할 수 없음

소프트웨어 보안 약점 중 SQL삽입에 대해 설명

사용자의 입력 값 등 외부 입력 값이 SQL 쿼리에 삽입되는 보안 약점

보안성이 강화된 응용프로그램 구현을 위한 일정계획의 수립에 포함되야 할 내용 네가지

일정 계획을 위한 보안 전문가를 선정 일정 계획을 위한 보안 범주를 식별 보안 요구사항을 분석 보안성이 강회되었는지 취약점 점검과 함께 독립적인 테스트 계획을 기획

보안 취약점 진단을 수행하기 위해 필요한 환경 중 스토리지에 대해 설명

취약점 진단을 수행하기 위해 필요한 데이터를 담아두는 저장 공간

3 위험

2 인젝션

2 개발 초기에 보안약점 발견으로 비용 절감

1 자원삽입

3 부적절한 인가

1 부적절한 자원해제

1 API 오용

1 사용자 개인정보와 관련 없는 패스워드는 사용하지 못한다

1 패스워드는 9자리 이하로 제한

4 로그인 상태 유지 시 쿠키 방식 적용

1주차

1주차

2주차

2주차

2주차_엑기스