문제를 잘 정의하는 것은 문제를 절반 해결한 것이다. - 2023.12

사용자 도구

사이트 도구

현재 위치: start » wiki » security
wiki:security

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판 이전 판
다음 판 		이전 판
wiki:security [2020/06/30 10:17]
dhan 		wiki:security [2023/01/13 18:44] (현재)
줄 23: 줄 23:
  
 ===== Telnet 설치 ===== ===== Telnet 설치 =====
-Window10 +Window10 \\ 
-Window7+Window7 \\ 
 +\\ 
 +CentOS7 \\ 
 +CentOS6 \\ 
 +\\ 
 + 
 +===== 분석도구(Tool) ===== 
 +FindBug => SpotBugs \\ 
 +FindSecurityBug \\ 
 +PMD \\
  
-CentOS7 
-CentOS6 
  
 ===== 시큐어코딩 가이드 ===== ===== 시큐어코딩 가이드 =====
줄 34: 줄 41:
   * {{:wiki:database:코딩가이드_java_v1.2_수정_-웹용.pdf|}} \\   * {{:wiki:database:코딩가이드_java_v1.2_수정_-웹용.pdf|}} \\
 \\ \\
 +XSS 보안 대책 -> CSP(콘텐츠 보안 정책) \\ 
 +[[https://developers.google.com/web/fundamentals/security/csp?hl=ko|구글 콘텐츠 보안 정책]] \\ 
 +[[https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP|Content Security Policy (CSP)]] \\ 
 +\\
 ===== 참조 ===== ===== 참조 =====
-[[https://openeg.co.kr/|OPENEG]] 기술자료 참조+[[https://openeg.co.kr/|OPENEG]] 기술자료 참조 \\ 
 +[[https://blog.lgcns.com/1952|제로트러스트 개념]] \\ 
 + 
 +CA 서명 인증서를 사용 
 +  인정서(Certificate)의 begin date와 expire date가 유효해야 한다. 
 +  hostname 값이 맞아야 한다. 
 +  폐기(revoked)되지 않아야 한다. 
 +  SHA2 이상의 알고리즘으로 서명되어야 한다. 
 +  신뢰할 수 있는 CA 업체의 서명을 받은 인증서여야 한다. 
 +   
 +패스워드 설정 규칙 
 +  1. 3가지 유형으로 9자리 이상이어야 함(대/소문자, 특수기호, 숫자 각1개 이상 포함) 
 +  2. 초기 패스워드는 변경 후 사용 
 +  3. 90일마다 패스워드를 강제 변경 
 +  4. 비밀번호 변경 후 최소 10일 간 재 변경은 불가능 
 +  5. 직전 4개의 패스워드를 기업(1년 내 재사용 금지) 
 +  6. ID와 동일한 패스워드 사용 불가 
 +  7. 자동 로그인 사용 불가 
 +  8. 연속 5번 패스워드 입력 실패 시 계정 잠금(10분 후 자동 해제) 
 +  9. 타 시스템과 동일 패스워드 사용 금지 
 +   
 +  클라이언트 사이드의 입력값 검증은 신뢰할 수 없으므로(쉽게 우회 가능), 중요 기능은 
 +  반드시 서버 사이드에서 구현하는 것이 원칙 
 +   
 +  초기 패스워드는 알 수 없게 생성하고, 개별적으로 전달(SMS, 메일) 
 +  이전 패스워드 컬럼은 패스워드와 같으며 해시화 해서 저장 
 +  10분간 계정 잠금을 구현하기 위해서 인증 실패한 시간 저장 필드 필요 
 +  1년간 패스워드 변경 회수를 4회로 제한하기 위한 필드 추가 필요 
 +   
 +Admin Web 페이지 접근 통제 
 +  관리자 페이지의 URL은 쉽게 추측할 수 없도록 설정한다. 
 +  관리자 페이지는 별도로 구성하고 접근 해야 됨, 서비스 페이지의 URI 변경으로는 안됨 
 +  IP 통제(관리자 페이지에 접속할 수 있는  IP 제한, 범위가 아닌 특정해야 됨) 
 +  TLS 1.2 이상 추천 
 +  관리자 인증은 추가 인증 개발(OTP, HTTPS, ...) 
 +   
 +테스트 케이스 
 +  예상 결과도 포함되어야 한다. 
 +  예상 결과와 일치해야 정답이다. 
 +   
 +민감 정보 
 +  건강, 성생활, 유전정보, 범죄정보, 사상 및 신념, 노동조합/정당의 가입 및 탈퇴, 정치적 견해, 바이오 인증정보, 인종, 민족 정보 
 +  개인정보보호법 시행령 입법예고 기준(2020.8.5 시행) 
 + 
 +WhiteList 
 +  새로운 유형의 입력에 대해서도 동일한 보안성 보장해 주기 때문 
 + 
 +===== 용어 ===== 
 +SHA2(샤투) \\ 
 +apk 안드로이드 패키지 파일 \\ 
 +난독화 (디컴파일 했을 경우 쉽게 알아 보지 못하게 함) \\ 
 + 
  
  
 {{tag>주레피 방화벽}} {{tag>주레피 방화벽}}
/var/services/web/dokuwiki/data/attic/wiki/security.1593479846.txt.gz · 마지막으로 수정됨: 2022/03/10 19:52 (바깥 편집)

문서 도구

별도로 명시하지 않을 경우, 이 위키의 내용은 다음 라이선스에 따라 사용할 수 있습니다: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki