공적's life

행정안전부에서 게시한 개발보안 가이드입니다.첨부파일에 C나 JAVA 그리고 안드로이드까지 들어있네요.잘못된 코딩방식과 잘된 코딩방식 두가지가 나와있어서 보기도 편하고 알기도 쉽네요그럼 첨부파일도 첨부해서 올려드리겠습니다. 아래는 게시물 제목: 정보시스템 SW 개발보안(시큐어 코딩) 가이드 행정기관등이 안전한 소프트웨어를 개발하여 각종 사이버위협으로부터 예방∙대응코자 함 정보시스템 개발시 보안성을 고려하고 보안취약점을 사전에 제거하기 위한『정보시스템 소프트웨어 개발보안 가이드』를 게시하오니 적극 활용하시기 바랍니다. ㅇ 가이드 내역 - 정보시스템 소프트웨어 개발보안 가이드(종합) - 언어별 시큐어 코딩 가이드(JAVA, C, 모바일언어 등) ㅇ 활용 : 행정ㆍ공공기관 정보시스템 개발ㆍ운영 담당자, 개발자 ..

오늘 소개 해드릴 플러그인은 tamaper data라는 플러그인 입니다. 그럼 일단 이것이 무엇을 하는 도구일까요? 바로 이것은 웹 브라우저에서 서버로 form데이터를 날리기 전에 가로쳐서 데이터를 변경하거나 추가할수 있는 툴입니다. 이것으로 자바스크립트 값 검증을 피하면서 서버에서 값을 검증하는지 않하는지 테스트 해볼수 있습니다. 물론 악의적으로 해킹툴로 쓰일수도 있습니다 예를 들어서 sql문에 값을 그대로 넣는 경우에 자바스크립트에서 값을 검증하였지만 이툴로 값을 변경해서 인젝션 공격을 할수 있습니다. 이것을 활용해서 조금더 안전한 웹 어플리케이션을 만들수 있겠죠? 사용법은 간단합니다. 파이어폭스 도구에서 tamper data를 누른후에 start tamper만 해주시면 모든 form데이터를 서버에서..

owasp(오픈 웹 보안 프로젝트)에서 만든 webgoat이란 툴이 있습니다. 웹 취약점을 분석해주는 툴은 아니지만 웹 보안에 대한 기초적인 지식을 쌓을 수 있는 툴입니다. 이툴은 자바를 기반으로 되어있고, 해킹(?)을 할수 있게 되어 있습니다. 설치법은 간단하게 readme정도만 읽어도 설치 할수 있습니다. 여기서 배운것을 활용한다면 웹 보안을 지킬수 있을 것입니다. https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project 위에 링크에서 프로젝트를 받을수 있습니다. 풀다가 모르시는 부분이 있으면 Solution Video가 제공되며 Solution도 제공되기 때문에 쉽게 풀수 있으실겁니다.