보안 및 API ★★

p.540, 4-16

1) 소프트웨어 개발 보안의 개요

- 소프트웨어 개발 과정에서 발생할 수 있는 보안 취약점을 최소화하여 보안 위협으로부터 안전한 소프트웨어를 개발하기 위한 일련의 보안 활동을 의미

# 시큐어 코딩(Secure Coding) ★

 

- 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 유지하는 것을 목표

#기무가 ★

 

- 정부에서 제공하는 소프트웨어 개발 보안 가이드를 참고하여 소프트웨어 개발 과정에서 점검해야 할 보안 항목들을 점검

 

 

2) 소프트웨어 개발 보안 점검 항목

점검 항목	설명
세션 통제	세션의 연결과 연결로 인해 발생하는 정보를 관리하는 것 * 세션: 서버와 클라이언트의 연결 ※ 보안 약점: 불충분한 세션 관리, 잘못된 세션에 의한 정보 노출 등
입력 데이터 검증 및 표현	입력 데이터에 대한 유효성 검증체계를 갖추고, 검증 실패 시 이를 처리할 수 있도록 코딩하는 것 ★ ※ 보안 약점: SQL 삽입, 경로 조작 및 자원 삽입, 크로스사이트 스크립팅(XSS; Cross-Site Scripting) 등
보안 기능	인증, 접근제어, 기밀성, 암호화 등의 기능 ★ ※ 보안 약점: 적절한 인증 없는 중요기능 허용, 부적절한 인가, 사이트 간 요청 위조(CSRF, Cross-Site Request Forgery) 등
시간 및 상태	동시 수행을 지원하는 병렬 처리 시스템이나 다수의 프로세스가 동작하는 환경에서 시간과 실행 상태를 관리하여 시스템이 원활히 동작되도록 코딩하는 것 ★ ※ 보안 약점: 종료되지 않는 반복문 또는 재귀함수, 검사 시점과 사용 시점(TOCTOU; Time of Check Time of Use) 경쟁조건 등
에러처리	소프트웨어 실행 중 발생할 수 있는 오류들을 사전에 정의하여 에러로 인해 발생할 수 있는 문제들을 예방하는 것 ※ 보안 약점: 오류 메시지를 통한 정보 노출, 오류 상황 대응 부재 등
코드 오류	개발자들이 코딩 중 실수하기 쉬운 타입 변환, 자원의 반환 등을 고려하며 코딩하는 것 ★ ※ 보안 약점: 부적절한 자원 해제, 널 포인터(Null Pointer) 역참조 등
캡슐화	데이터(속성)와 데이터를 처리하는 함수를 하나의 객체로 묶어 코딩하는 것 ★ ※ 보안 약점: 제거되지 않고 남은 디버그 코드, 잘못된 세션에 의한 데이터 정보 노출 등
API 오용	API를 잘못 사용하거나 보안에 취약한 API를 사용하지 않도록 고려하여 코딩하는 것 ※ 보안 약점: 취약한 API 사용, DNS lookup에 의존한 보안결정 등

#세입보시 에코캡아

 

 

3) API(Application Programming Interface) ★ __ 4-18

- 응용 프로그램 개발 시 운영체제나 프로그래밍 언어 등에 있는 라이브러리를 이용할 수 있도록 함으로써 효율적인 소프트웨어 구현을 도와주는 인터페이스

- 개발에 필요한 여러 도구를 제공

- 누구나 무료로 사용할 수 있게 공개된 API를 Open API라고 함

# Windows API, 단일 유닉스 규격(SUS), Java API, 웹 API 등

 

 

wook-2124.tistory.com/275

2020 정보처리기사 필기 총정리 (시나공, 수제비)

wook-2124.tistory.com/206

정보처리기사 필기, 실기 공부방법 및 기출문제 무료 공유