홈페이지 취약점 진단 제거 가이드
(*) 출처 : 한국인터넷진흥원(KISA) (*) 자료: 한국인터넷진흥원(KISA) 웹 어플리케이션 취약점 진단.제거 가이드입니다. 홈페이지_취약점_진단_제거_가이드.pdf
Android 보안 개발 가이드
1절. 입력 데이터 검증 및 표현 사용자의 입력을 검증없이 그대로 받아들여 사용하면 많은 보안위협에 노출되게 된다. 해당 보안취약점을 예방하기 위해서는 유효한 입력데이터만 허용할 수 있도록 코딩하는 것이 좋으며, 부득이한 경우 입력값을 검증하여 검증된 데이터만 허용하도록 코딩하여 취약점을 제거해야 한다 1. 상대 디렉터리 경로 조작 가. 정의 외부의 입력을 통하여 “디렉터리 경로 문자열” 생성이 필요한 경우,
HTML5 보안 개발 가이드
1절. Cross-Document Messaging 가. 정의 HTML5는 postMessage라는 새로운 API를 제공한다. 이는 한 도메인에서 다른 도메인으로 데이터를 전달하는 스크립트에 대한 프레임 워크이다. 이런 데이터 요청이 해킹이 아닌지 명확하게 하기 위해서, postMessage는 개발자가 데이터 요청의 origin check를 할 수 있게하는 object property를 포함한다. 그러나 HTML5는 이런 origin check를 강요하지 않기 때문에, 부주의한 개발자는 origin check를 하지 않을
Ajax 보안 개발 가이드
1절. Ajax 취약점 및 대응방안 Ajax(Asynchronous Java Script and XML)는 비동기식 JavaScript를 사용하는 웹 애플리케이션 개발 방식으로서 Http 프로토콜을 통해 XML 데이터를 웹 서버와 교환한다. 따라서 웹 페이지는 동적으로 업데이트 되는 기존 웹과 는 달리 응답속도가 떨어지지 않는다. Ajax는 기술이 아니며, 오히려 여러가지 기술이 복합된 방법론 또는 패턴에 더 가깝다. 해당 문서에서는 Ajax에서 나타날수 있는
JSP 보안 개발 가이드
1절. 보안 대책 1. 스크립트 삽입 취약점 가. 취약점 상세 내용 및 보안 대책 Javascript, Vbscript 등 PC의 웹브라우저에서 실행되는 클라이언트 사이트 스크립트를 다른 사용자의 웹브라우저에서 실행하도록 함으로서 웹 브라우저를 제어하여 PC를 공격하는 취약점을 말한다. 공격에 사용되는 유형은 크게 두가지로 분류할 수 있다. (1) Reflected XSS 이 유형의 XSS는 클라이언트 측에서 전송된 데이터가 서버측에서 즉시
ASP.NET 개발 보안가이드
SQL Injection 취약점 취약점 상세 내용 및 보안 대책 웹 사이트는 DBMS와 연동하므로 웹 어플리케이션에서 사용자의 입력값을 통하여 데이타 트랜잭션이 발생함. 만일 사용자 입력값에 대한 유효성 검증이 누락될 경우, 악의적인 사용자는 정상적인 입력값 대신 SQL 쿼리문이 포함된 조작된 입력값을 전송하여 서버측 쿼리문의 구조를 변경할 수 있으며, 이를 통해서 사용자 인증을 우회하거나 데이터베이스의 정보를 유출시키고 서버의
JAVA 보안 개발 가이드
1절. 입력 데이터 검증 및 표현 1. 크로스 사이트 스크립트 공격 취약점(XSS) 가. 정의 외부에서 입력되는 검증되지 않은 입력이 동적 웹페이지의 생성에 사용될 경우, 전송된 동적 웹페이지를 열람하는 접속자의 권한으로 부적절한 스크립트가 수행되어 정보 유출 등의 피해를 입힐 수 있다. 나. 안전한 코딩기법 외부에서 입력한 문자열을 사용하여 결과 페이지를 생성할 경우, replaceAll() 등과 같은 메소드를
HP-UX 보안가이드라인
1. 계정관리 Default 계정 삭제(중요도 : 상) 시스템 Default 계정 및 사용하지 않는 계정의 삭제 기준 가. Default 계정(lp,uucp,nuucp) 삭제나. 퇴직, 전환배치, 휴직, 계약 해지자 계정 삭제 ※ 가, 나 항목 모두 적용 해야 함 설정방법 # userdel lp # userdel uucp # userdel nuucp 상세설명 시스템에서 이용하지 않는 Default 계정 및 의심스러운 특이한 계정의
Citrix XenServer 보안가이드라인
1. 계정관리 1.1. Default 계정(중요도 : 중) 개요 확인방법 ■ 명령어 # cat /etc/passwd | egrep “lp:|uucp:|nuucp:” | grep -v “lpd” 설정방법 ■ 명령어 # userdel lp # userdel uucp # userdel nuucp 1.2. 일반계정 root권한 관리(중요도 : 상) 개요 확인방법 < 일반계정 및 일반계정의 디렉터리 구분 * “/etc/passwd “파일내용에서 구분 > 아래의 내용은 /etc/passwd
Citrix XenServer 보안가이드라인 더 읽기"
AIX 보안가이드라인
1. 계정관리 Default 계정 삭제(중요도 : 상) 시스템 Default 계정 및 사용하지 않는 계정의 삭제 기준 가. Default 계정(lp,uucp,nuucp) 삭제 나. 퇴직, 전배, 휴직, 계약 해지자 계정 삭제 ※ 가, 나 항목 모두 적용 해야 합니다. 설정 방법 # userdel lp # userdel uucp # userdel nuucp 상세설명 시스템에서 이용하지 않는 Default 계정 및 의심스러운