binable43/DevFest-2021-Secure-Coding-Guideline

🌲 개발 보안 시큐어 코딩 가이드라인 🌲 DevFest 2021 Ewha Womans University : Secure Coding Guideline

DevFest 2021 : Secure Coding Guideline

GDSC EWHA | 보안과 함께 하는 개발, 시큐어코딩 하루만에 배워 보기

Table of Contents

• SQL Injection: SQL 삽입
• SQL Injection: JDO
• SQL Injection: Persistence
• SQL Injection: mybatis Data Map
• XSS Attack(크로스 사이드 스크립트)
• Xquery 삽입
• 사용자 중요 정보 평문 저장
• 패스워드 평문 저장
• 오류 메시지를 통한 정보 도출 방지
• 쿠키를 통한 정보 노출 방지

---

✔️ SQL Injection : SQL 삽입

가장 빈번하게 일어나는 웹 해킹 공격
웹 어플리케이션 사용자 입력값에 필터링과 이스케이프가 제대로 적용돼 있지 않을 때 발생
공격자가 조작된 SQL 질의문을 삽입해 웹 서버 DB 정보 열람/유출/조작함 🚀 Learn More

JAVA	C
📖	📖
외부 입력 받아 쿼리 생성	외부 입력 받아 쿼리 생성
ID와 Password 추출해 쿼리 생성	ID와 Password 추출해 쿼리 생성
Blind SQL injection 공격 구문	.

---

✔️ SQL Injection : JDO

Java Data Objects로, 적절한 검사 과정 없이 의도에 벗어난 질의문 생성을 위한 문자열을 전달해 질의문 의미 왜곡시키거나 구조 변경해 임의의 질의 명령어 수행 🚀 Learn More

JAVA
📖
Parameterize Query 1
Parameterize Query 2

✔️ SQL Injection : Persistence

J2EE Persistence API 사용하는 응용프로그램에서 외부의 입력을 검증 없이 질의문으로 사용하는 경우, 역시 프로그래머가 의도하지 않았던 임의의 query 명령어 수행하는 공격 🚀 Learn More

JAVA
📖
입력값 검증
문자열 검증 함수

✔️ SQL Injection : mybatis Data Map

외부에서 입력된 값이 쿼리문의 인자값과 쿼리 명령어에 연결되는 문자열로 사용하는 경우 공격자 의도에서 벗어난 문자열 전달해 쿼리문 의미 왜곡 또는 구조 변경해 임의의 데이터베이스 명령어 수행 가능 🚀 Learn More

JAVA
📖
질의문 설정 파일 (XML)
사용자 소유 정보 가져오기

---

✔️ XSS 공격 (크로스 사이드 스크립트)

웹페이지에서 임의의 스크립트를 실행시켜 사용자 세션을 가로채거나 웹 사이트 변조, 악의적인 컨텐츠 삽입, 피싱 등을 시도하는 공격 🚀 Learn More

JAVA	C
📖	📖
안전하지 않은 Java 코드	안전하지 않은 C 코드
Java 시큐어 코드	C 시큐어 코드

---

✔️ Xquery 삽입

악의적인 쿼리가 실행되어 허가되지 않은 데이터를 조회하거나 인증 절차를 우회할 수 있게 되어 위협이 될 수 있다. 🚀 Learn More

JAVA
📖
외부 입력값을 executeQuery 사용 질의 생성 문자열 인자 생성
특정 아이템 가격 가져오기

---

✔️ 사용자 중요 정보 평문 저장

데이터를 암호화하지 않은 평문으로 통신 채널을 통해 송수신할 경우, 인증받지 않은 사용자에 의해 발생한 스니핑을 통해 보안과 관련된 중요한 데이터가 노출될 수 있습니다. 🚀 Learn More

JAVA	ANDROID Java	C	C#
📖	📖	📖	📖

✔️ 패스워드 평문 저장

패스워드를 비롯한 중요 데이터가 암호화되지 않은 평문 텍스트의 형태로 저장되면 암호가 외부에 직접 드러날 수 있어 기밀성이 보장되지 못하고 암호가 저장된 파일에 접근할 수 있는 사람이면 누구나 암호를 알아낼 수 있어 무결성 또한 보장되지 못합니다. 🚀 Learn More

JAVA	C
📖	📖
패스워드 정보 평문으로 DB 저장 취약점	패스워드를 파일에서 읽어 직접 DB 연결 취약점
	패스워드 입력 미검증 취약점

---

✔️ 오류 메시지를 통한 정보 도출 방지

과도하게 많은 정보나 민감한 정보를 포함하는 에러 메시지를 출력하면, 공격자가 이를 악용할 수 있기 때문에 보안 취약점이 발생할 수 있습니다. 🚀 Learn More

JAVA	C
📖	📖
스택 트레이스 출력 취약점	환경 변수 정보 출력 취약점
예외 내용 출력 취약점	발생 위치 정보 출력 취약점
에러 페이지 redirect 취약점

---

✔️ 쿠키를 통한 정보 노출

개인 정보나 인증 정보 등이 하드 디스크의 영속 쿠키에 저장된다면 개인 정보 유출 등의 문제로 시스템이 취약해지는 문제가 발생합니다. 🚀 Learn More

JAVA
📖
쿠키 유효 기간 설정 시 사용자 미검증 취약점
쿠키 유효 기간 상숫값 설정 취약점

---

GDSC EWHA TIMELINE

시간	주제	강연자
19:00~19:10	오프닝 & 개발에 바로 활용할 수 있는 Secure Coding Guideline 소개	GDSC EWHA
19:10~19:45	실 사례를 통해 알아보는 보안 개발의 필요성과 해결책	라도훈 스타트업 SERENDI
19:40~20:20	Secure Coding Guideline	이채영, 전세연 2020 소프트웨어 개발보안 경진대회 대상팀
20:20~21:00	안전하고 빠른 코드를 얻기 위한 우리의 몸부림(TDD, Code Converage Profile)	최원혁 (주)누리랩 대표 이사

---

Organizer

GDSC EWHA | 구민정 김소미 김윤서 배수현 윤하은 이은빈 장아연 장예서 하수민

---

Reference

행정안전부, 전자정부 SW 개발·운영자를 위한 소프트웨어 개발보안 가이드, 2019. 11

행정안전부, 전자정부 SW 개발·운영자를 위한 Java 시큐어코딩 가이드, 2012. 09

안전행정부, Android-Java 시큐어 코딩 가이드, 2011. 09

행정자치부, 한국 인터넷진흥원, 전자정부 SW 개발, 운영자를 위한 C 시큐어 코딩 가이드

XSS 공격과 대응방안, 디지털정책연구 = The Journal of digital policy & management v.11 no.12, 2013년, pp.327 – 332, 홍성혁 (백석대학교, 정보통신학부 정보보호 전공)

크로스 사이트 스크립팅(XSS) 취약점에 대한 공격과 방어, 디지털융복합연구 = Journal of digital convergence v.13 no.2 , 2015년, pp.177 – 183, 최은정 (서울여자대학교 정보보호학과 )

Oracle Docs, Java(TM) EE 7 Specification APIs

Microsoft, Microsoft 기술 문서

한국인터넷진흥원(KISA), 암호알고리즘 소스코드