Secure Coding - 보안 취약점 관리 사이트

CWE ( Common Weakness Enumeration )

미 국토 안보우에서 관리하는 웹에 관련된 보안 취약점들을 모아 놓은 사이트

http://cwe.mitre.org

무엇을 탈취하는 공격인지, 어떤 코드가 있으면 어떤 취약을 발생한다. 등 설명이 디테일하게 작성되있다.

CVE ( Common Vulnerabilities and Exposures )

http://cve.mitre.org

CWE : 일반적인 취약점의 분류 체계

CVE : 발견된 보안 취약점의 히스토리

SANS ( SysAdmin, Audit, Network, Security )

http://sans.org

가장 위험한 25가지 취약점을 정리한 목록

취약점을 줄이거나 완화할 수 있는 주요 완화방법 제시

구성요소간 안전하지 않은 상호작용 ( 6 Errors ) - Request <-> Response

위험한 자원 관리 ( 8 Errors ) - 암호화 키, 노출되기 쉬운 파일을 하드 코딩한다거나 등등 자원관리가 안전하지 않을 때

방어미비 ( 11 Errors ) - 해킹으로부터 방어하지 못한것

SQLi는 필수로 막아야 한다.

Command Injection - OS를 핸들링하는 것

XSS - 사용자가 악의를 품고 스크립트를 심어놓은 것

위험한 파일 업로드를 제한하지 않은 것 -> Cmdi 위험, ex) .sh파일은 막아야 한다.

CSRF - 사이트간 요청 위조

Open Redirect - 신뢰할 수 없는 사이트로 Url을 변경한 것 - 피싱 사이트

Buffer Overflow - Byte가 큰것을 작은것으로 옮겨 담는 것 -> Java는 방어가 되있다. C같은 경우는 에러 발생

무결성 검사 없이 코드 다운로드 - 검사를 해서 다운시켜야 한다.

솔트 - 이중암호화 -> 다른 DB에 넣어야 한다.

CERT ( Computer Emergent Response Team )

시큐어 코딩 가이드

http://www.cert.org

프로그래밍 언어별 Secure Coding Standard 제공

각 언어의 사용자 및 학습자가 수월하게 사용할 수 있도록 제공

OWASP ( Open Web Application Security Oroject )

https://www.owasp.org

웹프로그래밍과 관련해 가장 많이 발생하는 취약점을 정리한 사이트