Security/SecureCoding(233)
-
Microsoft Security Development Lifecycle (SDL) Banned Function Calls
Microsoft Security Development Lifecycle (SDL) Banned Function Calls http://msdn.microsoft.com/en-us/library/bb288454.aspx
-
손모양
손모양 손 모양을 이용한 인증 방식은 손을 폈을 때 손가락의 길이와 굵기 등의 요소들이 인증에 사용됩니다. 손 모양을 이용한 인증은 비교적 간편하고, 인증 데이터의 크기도 작아서 빠른 인증을 수행할 수 있습니다. 사람들의 손 모양이 대부분 다르긴 하지만, 사람들의 손이 완벽하게 다르지 않다는 것이 단점입니다, 손 모양이 비슷한 사람은 꽤 많으며, 고무 형태 같은 것으로도 쉽게 손 모양을 조작할 수 있습니다 images.google.com
-
하드 코딩(Hard Coding)된 패스워드
하드 코딩된 패스워드 하드 코딩(Hard Coding)은 패스워드 및 시스템 접속 정보와 같은 민감한 정보를 소스 코드 내에 적어두는 것을 의미 jsp 또는 java와 같은 서버 측 프로그래밍 언어에 패스워드가 하드 코딩되어 있는 경우, 공격자가 파일 다운로드 취약점이나 기타 취약점을 이용하여 소스 코드를 외부에서 열람할 경우 심각한 2차 공격으로 악용될 수 있습니다. 데이터베이스 접속 정보인 패스워드(tiger)를 하드 코딩한 예 public Connection DBCOnnects(String url, String id){ try{ Connection con = DriverManager.getConnection( url, id, "tiger"); }catch(SQLException e){ e.print..
-
MS-SDL(Microsoft Software Development Lifecycle), DREAD 위협모델링
Microsoft Software Development Lifecycle(MS-SDL) DREAD 위협모델링 DREAD 각 항목에 대한 위험도 1~10점으로 평가 1은 낮은 심각성 또는 발생확률이고 10은 높은 심각성 또는 발생확률 위험도는 전체의 산술평균값(전체를 더한 결과/5) DREAD의미위험도예상피해(Damage potential)피해가 얼마나 클것인가?0 = 없음 5 = 개별 사용자 데이터가 손상되거나 영향을 받음 10 = 전체 시스템 또는 데이터가 삭제재현확률(Reproducibility)공격이 성공할 확률이 얼마인가?0 = 심지어 응용 프로그램 관리자조차도 매우 어렵거나 불가능 5 = 하나 또는 두단계가 필요하거나, 허가된 사용자만 가능 10 =그냥 웹 브라우저 주소 표시 줄에서도 인증없이 ..
-
메모리 구조, 메모리 영역
프로세스 메모리 영역 메모리 영역은 텍스트, 데이터, 힙, 스택으로 구성 메모리 영역설명텍스트프로그램의 핵심으로 코드와 읽기 전용의 텍스트로 구성 읽기 전용이므로 프로세스가 수행되면 변경 불가데이터정적 변수의 항목 저장공간으로 읽기/쓰기 가능 프로세스 수행시 전역 변수들이 실제 확보하여 사용힙프로그램에서 동적 메모리 할당 공간(malloc(), free()) 동적으로 메모리 접근시 프로세스에 의해 할당/반환스택정적 프로그램의 동작에 의해 접근되는 영역 실행시 서브함수가 실행될 때마다 각 함수 적재 공간 함수의 리턴 주소가 저장되며 각 함수의 지역변수가 사용 프로세스 실행시 메모리 구조
-
메모리 누수(memory leak)
메모리 누수(memory leak) 프로그램이 필요하지 않은 메모리를 계속 점유하고 있는 현상 할당된 메모리를 사용한 다음 반환하지 않는 것이 누적되면서 시스템 메모리를 낭비하게 됩니다. https://ko.wikipedia.org/wiki/%EB%A9%94%EB%AA%A8%EB%A6%AC_%EB%88%84%EC%88%98 https://en.wikipedia.org/wiki/Memory_leak