Secure 코딩

: 설계/구현 단계에서 해킹 등의 공격을 유발할 가능성이 있는 잠재적인 보안 취약점 사전 제거, 외부 공격으로부터 안전한 SW개발하는 기법

적용대상

입력데이터 검증 및 표현

: 입력값으로 발생하는 문제 예방하기 위해 구현단계에서 검증해야할 보안 점검목록

XSS Cross Site Script

: 검증되지 않은 외부 데이터가 포함된 웹페이지가 전송되는 경우, 사용자가 해당 웹페이지를 열람함으로써 부적절한 스크립트 실행

이름	설명
Stored XSS	방문자들이 악성스크립트가 포함된 페이지를 읽어보면서 악성스크립트가 실행되면서 감염
Reflected XSS	악성 URL을 이메일로 전송하여 클릭시 바로 감염
Document, Object, Model XSS (DOM XSS)	DOM 기반 취약한 브라우저에 악성 URL을 이메일로 전송하여 클릭시 바로 감염

사이트 간 요청 위로 Cross Site Request Forgery, CSRF

: 사용자의 의지와 무관하게 공격자가 의도한 행위를 타 웹사이트에 요청하는 공격

SQL 삽입

: 응용프로그램의 취약점을 이용하여 악의적인 SQL 구문 삽입 -> 정보탈취, 조작

운영체제 명령어 삽입

: 운영체제 명령어 파라미터 입력값이 사전 점검을 거치지 않고 사용되어 공격자가 운영체제 명령어 조작

자원 삽입

: 자원을 조작할 수 있는 문자열 삽입하여 시스템이 보호하고 있는 자원에 임의로 접근할 수 있는 취약점

보안기능

: 개발단계에서 적절히 기능을 구현하기 위한 보안 점검

시간 및 상태

: 병렬시스템, 하나 이상의 프로세스가 동작하는 환경에서 시간/상태의 부적절한 관리로 발생할 수 있는 취약점 예방

에러처리

: 예외 처리X, 중요한 정보가 포함될때 발생할 수 있는 취약점 개발

코딩오류

: 프로그램 변환시 오류, 서버의 리소스 자원의 부적절한 반환 등 개발자 실수 방지

캡슐화

: 외부에 은닉이 필요한 정보를 캡슐화하지 않으면 유출, 권한 문제 발생

API 오용

: 잘못된 방법으로 API이용, 보안에 취햑한 API오용하여 발생할 수 있는 보안 취약점 예방