인터페이스 보안, 시큐어 코딩 가이드, SQL Injection
- 정보 보안의 3요소
- 기밀성(Confidentiality)
인가된 사용자만 정보 자산에 접근할 수 있다
일반적인 보안의와 가장 가깝다
신분 위장과 같은 공격 때문에 위협 받을수 있다
- 무결성(Integrity)
시스템 내의 정보는 오직 인가된 사용자가 인간된 방법으로만 수정할 수 있다
변경, 가장, 재전송 등과 같은 공격 때문에 위협받을 수 있다
- 가용성(Availability)
사용자가 필요할 때 데이터에 접근할 수 있는 능력을 말한다
서비스 거부 등과 같은 공격 때문에 위협받을 수 있다
- 인터페이스 보안 취약점
- 스니핑
송수신 중 인터페이스 데이터 내용을 중간에 감청(도청)하여 기밀성을 훼손하는 기법이다
공격 대상에게 직접 공격을 하지 않고 데이터만 몰래 들여다보는 수동적인 기법이다
- 스푸핑
공격 대상을 직접 속이는 것이 아니라 수동적 해킹 기법이다
Spoof(눈속임)에서 파생된 용어로 직접 시스템에 침입을 시도하는 것이 아니라 피해자가 공격자의 악의적인 눈속임을 통하여 잘못된 정보나 연결을 신뢰하게 만들어 공격 대상을 속이는 해킹 기법이다
- 시큐어 코딩 가이드
보안에 안전할 수 있는 프로그램 코드를 적용하여 프로그램을 코딩하는 것을 의미한다
- 입력 데이터
- 검증 및 표현
- 보안 기능
- 시간 및 상태
- 에러 처리
- 코드 오류
- 캡슐화
- API오용
