Coding

행정안전부 홈페이지에 가면 WEB 어플리케이션 개발보안 가이드가 있다.

행정안전부와 한국 인터넷 진흥원이 함께 만든 가이드로 2년 정도 된 자료이지만

항목 항목에 대해서 디테일하게 나와있는 것은 아니지만

보는이가 이해가능하고 전체적인 웹어플리케이션 개발 시 챙겨야할 부분들이 정리되어 있다.

하루하루 지날수록 보안관련하여 많은 방법들이 나오고 있고,

어플리케이션 및 Linux, Tomcat, Apache 등에 대해서도 보안 요소들을 챙겨야 할 것이 많이 있다.

그렇지만 가이드를 통해 기본적으로 Web Application에 대한 시큐어코딩을 습득하고,

문제가 많이 되는 부분에 대해서는 꼭 반영을 해놓기 바랍니다.

요즘은 Mybatis 와 같은 ORM Frameworks을 사용하면서 많이 없어지기도 했지만 SQL Injection 취약점.(예 : PW 없이 로그인)

실행 가능한 파일을 올리는 파일 업로드 취약점.(예 : webshell.jsp 업로드하여 실행)

허가 받지 않은 파일을 다운로드 받는 다운로드 취약점.(예 : /etc/passwd)

Paros와 같은 Proxy 프로그램을 이용한 파라미터 변조 공격. (예 : 10만원짜리를 만원에 사서 뉴스에도 나왔죠)
index.jsp 의 백업을 index.jsp.back 이라고 변경하여 놓는 Backup 파일 노출.(index.jsp.back 호출시 파일 다운로드)

요즘 많이 쓰는 개발자도구로 Client 단 ValidationCheck 는 무용지물이 될 수있는 Developer tool 공격
(예 : Chrome 개발자 도구로 Javascript 무효화 및 값 변경)

위와 같이 기본적인 것들은 꼭 지키면서 개발을 합시다! 

행정안전부 해당 가이드  URL : http://www.mospa.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000045&nttId=34439

웹어플리케이션 외에도 시큐어 코딩 가이드가 있으니 참고하시기 바랍니다.

기타 시큐어 코딩 가이드 URL : http://www.mospa.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000045&nttId=34430