Ch 09. 소프트웨어 보안 구축 ⭐ | Notion

<aside> 📌

참고 출처
목차 </aside>

(1) 보안의 3요소

| 기밀성 (Confidentiality) | - 시스템 내의 정보와 자원은 인가 된 사용자에게만 접근이 허용됨.

정보가 전송 중에 노출되더라도 데이터를 읽을 수 없음 | | --- | --- | | 무결성 (Integrity) | 시스템 내 정보는 오직 인가 된 사용자만 수정할 수 있음 | | 가용성 (Availability) | 인가 받은 사용자는 시스템 내의 정보와 자원을 언제라도 사용할 수 있음. |
Q. 기밀성을 강조한 접근 통제 모델?
Q. 무결성을 강조한 접근 통제 모델?

(2) 입력 데이터 검증 및 표현

입력 데이터로 인해 발생하는 문제들을 예방하기 위해 구현 단계에서 검증해야 하는 보안 점검 항목들

보안 약점	설명
SQL 삽입 (Injection)	- 웹 응용 프로그램에 SQL을 삽입하여 내부 데이터베이스 서버의 데이터를 유출 및 변조하고, 관리자 인증을 우회하는 보안 약점
**크로스사이트
스크립팅(XSS)**	- 웹페이지에 악의적인 스크립트를 삽입하여 방문자들의 정보를 탈취하거나, 비정상적인 기능 수행을 유발하는 보안 약점
운영체제 명령어 삽입	- 외부 입력값을 통해 시스템 명령어의 실행을 유도함으로써 권한을 탈취하거나 시스템 장애를 유발하는 보안 약점

웹 인터페이스를 통해 시스템 명령어가 전달되지 않도록 하고, 외부 입력값을 검증 없이 내부 명령어로 사용하지 않음으로써 방지할 수 있음. | | 메모리 버퍼 오버플로 | - 연속된 메모리 공간을 사용하는 프로그램에서 할당된 메모리의 범위를 넘어선 위치에서 자료를 읽거나 쓰려고 할 때 발생하는 보안 취약점 |

(3) 캡슐화