5월-방지호1-1.indd
|
|
- 숙 옹
- 6 years ago
- Views:
Transcription
1 F O C U S 3 공개용소스코드보안약점분석도구개발동향 방지호 * 현재국가정보화사업으로개발되는정보시스템소프트웨어는개발단계부터보안약점 ( 보안취약점의원인 ) 이배제되도록개발하는 소프트웨어개발보안 적용이의무화되었다. 소프트웨어개발보안을적용하여안전한소프트웨어를개발및구현하기위해정적분석도구등다양한자동화도구가개발및활용되고있다. 국가정보화사업에대한감리시감리법인이보안약점을진단하기위해정적분석기반의자동화도구인소스코드보안약점분석도구를사용하는경우 정보보호시스템평가 인증지침 에따라평가 인증받은제품을사용하는것이의무화되어, 현재 (2014년 5월기준 ) 관련유형의제품에대한평가가진행중이며, 인증된제품도최근 2 종이출시되었다. 본기고에서는상용제품이외에손쉽게접할수있는오픈소스로공개된정적분석기반의보안약점분석도구를대상으로보안약점분석성능을분석하고자한다. 보안약점성능분석결과는중소기업등영세한민간기업에서소프트웨어개발시참고하여활용할수있는공개용분석도구에대한정보를제공하여소프트웨어개발안전성향상에기여할수있을것으로기대한다. Ⅰ. 서론 Ⅱ. 본론 1. 국내 외개발보안동향 2. 공개용소스코드보안약점분석도구유형및시험기준 3. 공개용소스코드보안약점분석도구성능분석 Ⅲ. 결론 ** 한국인터넷진흥원보안평가팀책임연구원 (jhbang@kisa.or.kr) 46 INTERNET & SECURITY FOCUS May 2014
2 Ⅰ. 서론 현재국가정보화사업으로개발되는정보시스템소프트웨어 ( 이하, SW) 는개발단계부터 FOCUS 보안취약점 (Vulnerability) 의원인인보안약점 (Weakness) 1 을배제하도록개발하는 SW 개발보안 적용이의무화되었다. SW 개발보안단계는요구사항분석단계, 설계단계, 구현단계, 시험단계, 릴리즈단계, 운영단계로구분되며다음과같이수행된다. 요구사항분석단계 는개발대상 SW가다루는정보 ( 및데이터 ) 와 SW가제공하는서비스를대상으로보안위협을도출하여, 도출된보안위협을대응 ( 제거, 완화, 회피등 ) 하기위한보안요구사항을도출하는단계이다. 설계단계 는보안위협을기반으로도출된보안요구사항이 SW 기능으로구현되도록보안구조및인터페이스, 알고리즘등을설계하는단계이다. 구현단계 는보안요구사항에대한설계내용을프로그래밍언어 ( 예, JAVA, C 등 ) 로보안약점이내재되지않도록안전하게구현하는단계로, 현재국내에서의무화가적용된단계이다. 시험단계 는보안요구사항에따른보안기능등이적절하게동작하는지를단위모듈 서비스시험, 통합모듈 서비스시험등을통해확인하는단계이다. 릴리즈단계 는시험단계를통해보안요구사항이적정하게구현된것을확인된경우, SW 컴파일등을통한배포본을제작하는단계이다. 운영단계 는 SW 배포본을설치하여정상적인 IT 서비스를제공하는단계로주기적인보안취약점을점검하여안전한서비스를제공해야한다. 보안취약점이발생하는경우관련보안패치를적용하여안전한서비스를제공해야한다. 안전한 SW 개발을위해 SW 개발단계별로다양한자동화도구가개발되고있는데, 국내에의무화된구현단계의경우소스코드를대상으로 SW 에러, 버그등보안약점을분석해주는정적분석도구가대표적이다. 최근안전한 SW 개발을위해보안약점을분석할수있는정적분석도구가많이활용되고있는데, 국내국가정보화사업에대한감리시감리법인이보안약점을진단하기위해정적분석기반의자동화도구인 소스코드보안약점분석도구 를사용하는경우 정보보호시스템평가 인증지침 에따라평가 인증받은제품 (CC인증제 1 보안약점 (Weakness) 은잠재적인보안취약점 (Potential Vulnerability) 으로해킹등사이버공격을유발할수있는 SW 결함, 오류등으로, 관련보안약점목록은 MITRE 社 ( 에서제공하고있음 47
3 품 ) 을사용하는것이의무화 2 되었다. 본기고에서는손쉽게접할수있는오픈소스로공개된정적분석기반의보안약점분석도구를대상으로보안약점분석성능을분석하고자한다. 보안약점성능분석결과는중소기업등영세한민간기업에서 SW 개발시참고하여활용할수있는공개용분석도구에대한정보를제공하여소프트웨어개발안전성향상에기여할수있을것으로기대한다. 본기고는국내외개발보안동향과공개용소스코드보안약점분석도구시험기준을기반으로성능시험결과를분석하고, 결론을맺는다. Ⅱ. 본론 1. 국내 외개발보안동향 1) 국외개발보안동향 미국국토안보부 ( 이하, DHS) 는국방부 ( 이하, DoD) 및국립표준기술연구소 ( 이하, NIST) 와함께 SW 보증을위한다양한방법론을연구하고있다. NIST의경우, DHS의지원을받아 2004년부터 SW 보증을통한 SW 보안성을향상시키기위한다양한연구를수행하는 SAMATE(Software Assurance Metrics And Tool Evaluation) 프로젝트를수행하고있다. SAMATE 프로젝트는 SW 보안성을지원하는도구평가방법, 도구와개발보안기법의차이및효과분석등을수행하고있는데, 소스코드보안약점분석도구와관련하여분석도구성능평가방법론및테스트베드를제공하고있다. 성능평가기준으로소스코드보안약점분석도구가탐지해야하는최소보안약점기준항목을 JAVA 언어는 9개, C/C++ 언어는 19개로정의하고있다. 성능평가를위한테스트베드로 CWE를기반으로소스코드에다양한보안약점이포함되도록구현한 JAVA 및 C/C++ 개발언어기반의 Juliet 코드 3 등을제공하고있다. SAMATE 프로젝트는정적분석기반의상용분석도구를대상으로 2008년부터매년상용분 2 현재 (2014년 5월기준 ) 관련유형의제품에대한평가가진행중이며, 인증제품도출시되었음 3 ( 참조사이트 : Juilet 코드등다양한예제코드제공 ) 48 INTERNET & SECURITY FOCUS May 2014
4 석도구개발업체의참여하에 SATE(Static Analysis Tool Exposition) 를개최하고있다. SATE 는참여를희망하는상용분석도구개발업체를대상으로 NIST 에서제시하는공개용오 픈소스를시험코드로하여각진단도구특징및분석성능을시험한다 년에는공개용오 FOCUS 픈소스외에 CVE에서리포팅한정보를기반으로취약한공개용오픈소스와보안패치된공개용오픈소스를한쌍의시험코드로사용하였다. 2012년에는단순공개용오픈소스는시험코드에서제외하고, 대신 Juliet 코드를시험코드에포함하였다. 2012년이전까지는분석도구의성능보다 SATE에참여한진단도구의특성분석및비교에초점을두었으나, 2012년에는 3차례의 SATE 진행경험을토대로 SATE에참여한분석도구의성능 ( 정탐, 오탐등 ) 관점으로 SATE 진행결과를리포트하였다. 정보보안관련연구기관인 MITRE 社의경우, DHS의지원을받아 SW의보안약점목록인 CWE(Common Weakness Enumeration) 정보를제공하고있다. CWE의보안약점정보는정보보호제품을포함한 IT 제품에서발견되는보안취약점정보를제공하는 CVE(Common Vulnerabilities and Exposures) 등을기반으로도출된보안취약점의원인을기반으로추가및갱신되고있다. 2008년 9월 CWE 버전 1.0을시작으로 2012년 10월에 CWE 버전 2.3을발표하여총 909개의항목을제공하고있으며, SANS 社와함께 SW를위험하게만드는 25개의 CWE 항목을매년발표하여 SW 개발시참고하도록하고있다. 그리고웹어플리케이션에대한보안을연구하여공유하고있는 OWASP(The Open Web Application Security Project) 는매년전문가의견을수렴하여가장위험한 10개의보안위험, 즉웹어플리케이션에특화된주요보안약점을발표하고있다. 2) 국내개발보안동향안전행정부는한국인터넷진흥원 ( 이하, KISA) 와함께 2009 년부터 SW 개발보안제도도입및정착을위해 SW 개발보안관련가이드를개발하여배포하고있으며, 정보화사업담당공무원및개발자등을대상으로 SW 개발보안교육과정을운영하고있다. 또한, 전자정부지원사업으로개발되는 SW를대상으로 KISA 가자체개발한 SW 보안약점분석도구를기반으로 SW 보안약점시범진단서비스를제공하였는데 SW 라인수는평균 87만라인으로 2010년도의경우평균 2,400 개의보안약점을, 2011 년도의경우평균 1,328 개의보안약점을진단하여조치하도록하였다. 안전행정부와 KISA의지속적인 SW 개발보안관련정책추진에따라, 2012년 6월 정보시스템구축 운영지침 이개정 고시되어정보시스템감리대상전자정부 SW는개발보안을 FOCUS 3 공개용소스코드보안약점분석도구개발동향 49
5 적용하여안전하게개발하도록의무화되었다. 이에따라, 전자정부 SW를개발하는행정기관은자체적으로분석도구및관련전문가등을활용하여 SW 보안약점존재여부를진단하여조치해야한다. 보안약점진단시, 이를효과적으로지원할수있는분석도구개발을위해최소기능요구사항도출과신뢰할수있는분석도구선택을위한평가기준이필요하다. 관련지침에서 SW 보안약점진단을위해분석도구를사용하는경우국가정보원장이정보보호시스템보안성평가 인증 (Common Criteria, 공통평가기준 ) 한분석도구를사용 (2014년 1월이후 ) 하도록의무화하여, 현재 (2014년 5월기준 ) 인증된분석도구 2종이출시되었다. 최근 2013년 8월해당지침이일부개정되어 행정기관및공공기관정보시스템구축 운영지침 4 이고시되면서안전한 SW 개발을위해필수진단하여제거해야하는 SW 보안약점기준이개정되어 43개항목에서 47개항목으로조정되었다. 2. 공개용소스코드보안약점분석도구유형및시험기준 행정기관및공공기관정보시스템구축 운영지침 에따라, 정보시스템감리시사용하는소스코드보안약점분석도구는 CC인증제품사용이의무화되었으나 SW 개발이나자체보안약점진단을위해사용하는경우 CC인증제품사용에대한제약이없다. 따라서, 본기고에서는국가정보화사업 SW 개발시많이사용되는프로그래밍언어인 JAVA 언어기반의분석도구를대상으로손쉽게접할수있는공개용분석도구개발현황및국내기준부합수준을분석하여개발자등에관련정보를제공하고자한다. NIST SAMATE 프로젝트는 SW의품질및보안성개선을위해정적분석기반의보안약점분석도구 ( 상용 공개용 ) 를포함하여 SW 개발단계별사용할수있는다양한도구목록을제공하다. 소스코드보안약점분석도구중공개용분석도구는 < 표 1> 과같으며, JAVA 언어로구현된소스코드의보안약점을분석할수있는공개용분석도구는 FindBugs,, JLint, LAPSE+, PMD, Yasca 등 6종이다. 또한, NIST SAMATE 프로젝트는 JAVA 기반의보안약점분석도구의성능을측정할수있는시험코드인 Juliet 코드를제공하고있는데국내에서의무화한 47개보안약점중 24개보안약점에대한시험코드가포함되어있다. 4 행정기관및공공기관정보시스템구축 운영지침 ( 안전행정부고시제 호, ) 50 INTERNET & SECURITY FOCUS May 2014
6 도구명 < 표 1> 국외공개용소스코드보안약점분석도구현황 분석대상언어 JAVA C C++ 기타 1 ABASH Bash 2 BOON - O Clang Static Analyzer - O - Objective-C 4 Closure Compiler JavaScript 5 Cppcheck - O O - 6 CQual - O Csur - O FindBugs O - - Groovy, Scala 9 O - - Groovy, Scala 10 Flawfinder O O - 11 Jlint O LAPSEO PHP-Sat PHP 14 Pixy PHP 15 PMD O pylint Python 17 RATS (Rough Auditing Tool for Security) [ O : 해당사항있음, : 해당사항없음 ] - O O Perl, PHP, Python 18 Smatch - O Splint - O UNO - O Yasca O O O JavaScript, ASP, ColdFusion, PHP, COBOL,.NET 등 FOCUS 출처 : NIST SAMATE, < 분석도구성능분석을위한성능결과판정기준은다음 < 표 2> 에서술한기준을기반으로보안약점이내포된 Bad 코드에서취약한함수 ( 또는메소드 ) 등의위치를정확하게탐지한경우 정탐 (True Positive) 으로판정하며그렇지못한경우 미탐 (False Negative) 으로판정한다. 또한, 보안약점이해결되어보안약점이존재하지않는 Good 코드에서보안약점이존재한다고진단하는경우 오탐 (False Positive) 으로판정한다. 정탐 과 미탐 은서로역 ( 逆 ) 관계에있기때문에본기고에서는 정탐 과 오탐 에대해서만논하기로한다. FOCUS 3 공개용소스코드보안약점분석도구개발동향 51
7 < 표 2> 시험코드기반분석결과판정기준 구분 코드유형 판정기준 정탐 Bad 보안약점이내재된함수등의위치를정확하게탐지한경우 오탐 Good 보안약점이해결된함수등을탐지하는경우 미탐 Bad 보안약점이내재된함수등을탐지못하는경우 3. 공개용소스코드보안약점분석도구성능분석 본절에서는 JAVA 프로그래밍언어기반의공개용분석도구 6 종 (< 표 3> 참조 ) 을대상으로 2 절의분석기준을적용한성능분석결과를설명한다. < 표 3> JAVA 프로그래밍언어기반의공개용분석도구 구분 버전 진단대상 설치 운영 FindBugs[27] 바이트코드 Eclipse 플러그인 [28] 1.1,0 바이트코드 FindBugs 모듈 JLint[29] 3.0 바이트코드 CLI LAPSE+[30] 자바코드 Eclipse 플러그인 PMD[26] 자바코드 Eclipse 플러그인 Yasca[31] 2.1 자바코드 CLI Juliet 코드는다양한유형을고려하여개발되었기때문에보안약점별여러종류의세부시험코드가존재한다. 따라서, 분석도구가보안약점별세부시험코드중한개라도보안약점을정탐하는경우다양한유형의진단규칙보유가미흡하나해당보안약점을점검할수있는메커니즘은보유하고있다고할수있기때문에점검가능하다고판정 ( 표시 ) 하였다. 만약한개의정탐도없는경우점검할수없다고판정 ( 표시 ) 하였으며, 보안약점이포함된소스코드를탐지하였어도분석도구탐지규칙에적합하지않는경우오탐으로판정 ( 표시 ) 하였다. 해당보안약점에대한 Juliet 코드가존재하지않는경우분석대상에서제외 (- 표시 ) 하였다. 1) 입력데이터검증및표현 JAVA 언어기반 Juliet 코드는입력데이터검증및표현유형에대해 10 개보안약점 (SQL 삽입, 경로조작및자원삽입, 크로스사이트스크립트 (XSS), 운영체제명령어삽입, 신뢰되 52 INTERNET & SECURITY FOCUS May 2014
8 지않는 URL 주소로자동접속연결, XPath 삽입, LDAP 삽입, HTTP 응답분할, 정수형오 버플로우, 포맷스트링삽입 ) 에대한시험코드를제공하고있다. 6 개의분석도구중 PMD 를 제외한 5 종의분석도구는 입력데이터검증및표현 유형중 1~6 개의보안약점을탐지하였 FOCUS 다. FindBugs,, LAPSE+ 의경우, HTTP Response Splitting 진단규칙으로 신뢰되지않은 URL 주소로자동접속연결 보안약점을식별하여오탐으로처리하였다. Yasca의경우, Process Control 진단규칙으로 OS 명령어삽입 보안약점을식별하였으나해당진단규칙은절대경로지정없이임의의라이브러리를로드하였을때발생할수있는보안약점이기때문에오탐으로처리하였다. < 표 4> 분석도구성능분석 : 입력데이터검증및표현 보안약점 CWE FindBugs SQL 삽입 89 O O O O 경로조작및자원삽입 22/99 O O O 크로스사이트스크립트 80 O O O 운영체제명령어삽입 78 O O 위험한형식파일업로드 신뢰되지않는 URL 주소로자동접속연결 601 XQuery 삽입 XPath 삽입 643 O LDAP 삽입 90 크로스사이트요청위조 HTTP 응답분할 113 O O O 정수형오버플로우 190 O 보안기능결정에사용되는부적절한입력값 메모리버퍼오버플로우 포맷스트링삽입 134 2) 보안기능 JAVA 언어기반 Juliet 코드는보안기능유형에대해 7개보안약점 ( 취약한암호화알고리즘사용, 중요정보평문전송, 하드코드된비밀번호, 적절하지않은난수값사용, 하드코드된암호화키, 주석문안에포함된패스워드등시스템주요정보, 솔트없이일방향해쉬함수사용 ) 에대한시험코드를제공하고있다. 6개의분석도구중 FindBugs,, Yasca 는 보안기능 유형중 1~2개의보안약점을탐지하였다. FindBugs, 는 FOCUS 3 공개용소스코드보안약점분석도구개발동향 53
9 Hardcoded constant database password 진단규칙으로 사용자중요정보평문저장및전 송 보안약점을식별하여오탐으로처리하였다. < 표 5> 분석도구성능분석 : 보안기능 보안약점 CWE FindBugs 적절한인증없는중요기능허용 부적절한인가 중요한자원에대한잘못된권한설정 취약한암호화알고리즘사용 327 O O 중요정보평문저장 중요정보평문전송 319 하드코드된비밀번호 259 O O 충분하지않은키길이사용 적절하지않은난수값사용 330 O 하드코드된암호화키 321 취약한비밀번호허용 사용자하드디스크에저장되는쿠키를통한정보노출 주석문안에포함된시스템주요정보 615 솔트없이일방향해쉬함수사용 759 무결성검사없는코드다운로드 반복된인증시도제한기능부재 ) 시간및상태 JAVA 언어기반 Juliet 코드는시간및상태유형에대해 1개보안약점 ( 종료되지않는반복문또는재귀함수 ) 에대한시험코드를제공하고있다. 6개의분석도구중 FindBugs, 는 An apparent infinite recursive loop 진단규칙으로 제어문을사용하지않는재귀함수 보안약점을탐지하였다. 54 INTERNET & SECURITY FOCUS May 2014
10 < 표 6> 분석도구성능분석 : 시간및상태 보안약점 CWE FindBugs 경쟁조건 : 검사시점과사용시점 (TOCTOU) 종료되지않는반복문또는재귀함수 /835 O O FOCUS 4) 에러처리 JAVA 언어기반 Juliet 코드는에러처리유형에대해 2개보안약점 ( 오류메시지를통한정보노출, 오류상황대응부재 ) 에대한시험코드를제공하고있다. 6개의분석도구중PMD만 EmptyCatchBlock 및 AvoidPrintStackTrace 진단규칙으로 2개의 에러처리 유형보안약점을탐지하였다. 보안약점 CWE FindBugs 오류메시지를통한정보노출 < 표 7> 분석도구성능분석 : 에러처리 209 O 오류상황대응부재 390 O 부적절한예외처리 ) 코드오류 JAVA 언어기반 Juliet 코드는코드오류유형에대해 2개보안약점 (Null Pointer 역참조, 부적절한자원해제 ) 에대한시험코드를제공하고있다. 6개의분석도구중 FindBugs, 는 Null pointer dereference 진단규칙으로, JLint는 Data Flow 진단규칙으로 널포인터역참조 보안약점을탐지하였다. < 표 8> 분석도구성능분석 : 코드오류 보안약점 CWE FindBugs Null Pointer 역참조 476 O O O 부적절한자원해제 404 해제된자원사용 초기화되지않은변수사용 FOCUS 3 공개용소스코드보안약점분석도구개발동향 55
11 6) 캡슐화 JAVA 언어기반 Juliet 코드는캡슐화유형에대해 2개보안약점 ( 제거되지않고남은디버그코드, 시스템데이터정보노출 ) 에대한시험코드를제공하고있다. 6개의분석도구중 Yasca만 Authorization: Debug Parameter Found 진단규칙으로 제거되지않고남은디버그코드 보안약점을탐지하였다. 보안약점 CWE FindBugs 잘못된세션에의한데이터정보노출제거되지않고남은디버그코드 < 표 9> 분석도구성능분석 : 캡슐화 O 시스템데이터정보노출 497 Public 메소드부터반환된 Private 배열 Private 배열에 Public 데이터할당 ) API오용 JAVA 언어기반 Juliet 코드는 API 오용유형의보안약점 (DNS lookup에의존한보안결정, 취약한 API 사용 ) 에대한시험코드를제공하고있지않기때문에해당보안약점에대한분석은생략한다. 보안약점 CWE FindBugs DNS lookup 에의존한보안결정 < 표 10> 분석도구성능분석 : API 오용 247/ 취약한 API 사용 Ⅲ. 결론 본기고에서는소스코드보안약점 47 개항목중 Juliet 코드를통해시험할수있는 24 개 보안약점을대상으로공개용분석도구 6 종에대한진단규칙보유관점의성능시험을수행하 56 INTERNET & SECURITY FOCUS May 2014
12 였다. 성능분석결과 (< 표 11> 참조 ), 모든보안약점을분석할수있는규칙및성능을보유한 분석도구는존재하지않았다. 따라서, 소스코드보안약점을분석하기위해서는 정보보호시 스템평가 인증지침 에따라인증된분석도구를사용하는것이필요하며, 공개용분석도구 FOCUS 를사용해야하는경우본기고의분석결과를기반으로여러개의도구를같이사용하여분석범위를넓히고분석도구가분석하지못하는보안약점에대한규칙을추가하는것이필요하다. 또한, 국가정보화사업등과같이대규모의 SW 분석시분석도구의메모리용량등이중요하므로공개용분석도구사용시힙메모리를충분히설정하여분석하는것이필요하다. 본기고의분석도구성능분석결과는중소기업등영세한민간기업에서소프트웨어개발시참고하여활용할수있는공개용분석도구에대한정보를제공하여소프트웨어개발안전성향상에기여할수있을것으로기대한다. 본기고에서분석도구성능분석을위해사용된 Juliet 코드는인위적으로개발된예제코드로실제적용결과와차이가존재할수있기때문에향후에는오픈소스 SW 등다양한코드를대상으로성능분석을수행할예정이다. 또한, C 프로그래밍언어기반의공개용소스코드보안약점분석도구에대한성능분석을수행하고, 퍼징도구와같은동적분석도구로성능분석영역을확장할예정이다. < 표 11> 분석도구성능분석결과 보안약점유형 분석대상 FindBugs 입력데이터검증및표현 (15 개 ) 보안기능 (16 개 ) 시간및상태 (2 개 ) 에러처리 (3 개 ) 코드오류 (4 개 ) 캡슐화 (5 개 ) API 오용 (2 개 ) 계 (47 개 ) FOCUS 3 공개용소스코드보안약점분석도구개발동향 57
13 참고문헌 미래창조과학부 (2013). 정보보호시스템평가인증지침 ( 미래창조과학부고시제 호 ). 방지호, 하란 (2013). 소프트웨어보안약점기반의오픈소스보안약점진단도구분석, 한국정보과학회 2013 한국컴퓨터종합학술대회 : 안전행정부 (2013). 소프트웨어개발보안가이드. 안전행정부 (2013). 행정기관및공공기관정보시스템구축 운영지침 ( 안전행정부고시제 호 ). 행정안전부 (2012). 소프트웨어보안약점진단가이드. DHS, Build Security In(BSI), < FindBugs, < < JLint, < LAPSE+, < MITRE, Common Vulnerabilities and Exposures, Retrieved June, 20, 2012, from mitre.org. MITRE, Comon Weakness Enumeration V2.4, Retrieved Feb., 21, 2013, from mitre.org. NIST SAMATE, < OWASP, OWASP Top Ten 2013 rc1, < PMD, < V. Okun 외, Report on the Static Analysis Tool Exposition(SATE) IV(NIST Special Publication ), Yasca, < 58 INTERNET & SECURITY FOCUS May 2014
문서의 제목 나눔고딕B, 54pt
소프트웨어개발보안 2015.05 김현철 2 목차 1. 소프트웨어중요성 2. 소프트웨어개발보안 3. 소프트웨어개발보안제도 4. SW 보안약점및정적진단의한계 5. 맺음말 1. 소프트웨어중요성 1. 소프트웨어중요성 CES 2014/2015 주요키워드 : SMART! 5 1. 소프트웨어중요성 SMART Generation : Software World! 6 1. 소프트웨어중요성
More informationMicrosoft PowerPoint - file
SW 보안약점소개 SIGPL Workshop, KCC2013 2013. 6. 28 한국항공대학교안준선 목차 시큐어코딩, 보안약점, 보안취약점 SW 보안약점의유형 입력데이터검증및표현 (Input Validation and Representation) API 오용 (API Abuse) 보안기능 (Security Features) 시간및상태 (Time and State)
More information2007 상반기 실적회의 - DRM Extension
Secure Coding 을위한 Semantic 분석엔진 SPARROW SCE PA 사업부개발 2 팀장 정영범박사 사이버해킹 55 억 보안취약점 75% 보안약점의조기제거 30 배 Secure Coding Mandatory 2012.12 40억이상 2014. 20억이상 2015. 감리대상사업전체 행정기관 제안요청서에 SW 개발보안적용명시 계약시 SW개발보안을위한적절한개발절차및진단도구사용여부확인
More information2015 년 SW 개발보안교육과정안내
2015 년 SW 개발보안교육과정안내 2015 년 SW 개발보안교육과정안내 행정자치부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다. 2015 년 SW 개발보안일반과정 교육대상 : 전자정부정보화사업담당공무원및개발자 교육기간 년 월 년 월
More informationObservational Determinism for Concurrent Program Security
웹응용프로그램보안취약성 분석기구현 소프트웨어무결점센터 Workshop 2010. 8. 25 한국항공대학교, 안준선 1 소개 관련연구 Outline Input Validation Vulnerability 연구내용 Abstract Domain for Input Validation Implementation of Vulnerability Analyzer 기존연구
More information2017 년 SW 개발보안교육과정안내 행정자치부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및개 발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안기본과정 o 교육대상 :
2017 년 SW 개발보안교육과정안내 2017 년 SW 개발보안교육과정안내 행정자치부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및개 발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다. 2017 년 SW 개발보안기본과정 o 교육대상 : 전자정부정보화사업담당공무원및개발자 o 교육기간 : 2017년
More information2017 년 6 월한국소프트웨어감정평가학회논문지제 13 권제 1 호 Abstract
2017 년 6 월한국소프트웨어감정평가학회논문지제 13 권제 1 호 Abstract - 31 - 소스코드유사도측정도구의성능에관한비교연구 1. 서론 1) Revulytics, Top 20 Countries for Software Piracy and Licence Misuse (2017), March 21, 2017. www.revulytics.com/blog/top-20-countries-software
More information1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3
CR-15-59 AhnLab Policy Center 4.6 for Windows 인증보고서 인증번호 : ISIS-0631-2015 2015년 7월 IT보안인증사무국 1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정
More information암호내지2010.1.8
Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀
More information** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름
EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection
More information<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>
개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000
More information2018 년 SW 개발보안교육과정안내 행정안전부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안일반과정 교육대상 : 전
2018 년 SW 개발보안교육과정안내 2018 년 SW 개발보안교육과정안내 행정안전부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다. 2018 년 SW 개발보안일반과정 교육대상 : 전자정부정보화사업담당공무원및개발자 교육기간 년 월 년 월년
More information12 성능모니터링 allmon Apache License v 성능모니터링 nmon GPL v3 분산되어있는시스템에대한자원상태체크, 사용현황, 성능등을수집
1 BTS Bugzilla MPL http://www.bugzilla.org 웹기반의 bug tracking 및테스트도구 2 BTS Fossil 2-clause BSD http://www.fossil-scm.org 프로젝트에서파일을관리하는 소스컨트롤시스템 3 BTS Gemini Proprietary, Free for non-profit, Free for open
More informationMicrosoft PowerPoint - CSharp-10-예외처리
10 장. 예외처리 예외처리개념 예외처리구문 사용자정의예외클래스와예외전파 순천향대학교컴퓨터학부이상정 1 예외처리개념 순천향대학교컴퓨터학부이상정 2 예외처리 오류 컴파일타임오류 (Compile-Time Error) 구문오류이기때문에컴파일러의구문오류메시지에의해쉽게교정 런타임오류 (Run-Time Error) 디버깅의절차를거치지않으면잡기어려운심각한오류 시스템에심각한문제를줄수도있다.
More information슬라이드 1
Software Verification #3 정적분석도구, 단위 / 시스템테스트도구 Software Verification Team 4 강 정 모 송 상 연 신 승 화 1 Software Verification #3 정적분석도구, 단위 / 시스템테스트도구 CONTENTS 01 Overall Structure 02 Static analyzer SonarQube
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More informationii iv 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 2 3 4 5 1 3 6 37 제품군 제품분류 39 제출물관리대장 41 43 45 47 < 접수번호 > 관리번호 평가결과보고서 < 평가대상제품명 > 년월일 < 평가기관명 > 49 제 1 장개요 o 일반적으로다음의사항을포함한다. - 정보보호제품평가인증관련규정 (
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file
More information1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과
1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과 학습내용 1. Java Development Kit(JDK) 2. Java API 3. 자바프로그래밍개발도구 (Eclipse) 4. 자바프로그래밍기초 2 자바를사용하려면무엇이필요한가? 자바프로그래밍개발도구 JDK (Java Development Kit) 다운로드위치 : http://www.oracle.com/technetwork/java/javas
More informationMicrosoft PowerPoint - chap01-C언어개요.pptx
#include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More informationFrama-C/JESSIS 사용법 소개
Frama-C 프로그램검증시스템소개 박종현 @ POSTECH PL Frama-C? C 프로그램대상정적분석도구 플러그인구조 JESSIE Wp Aorai Frama-C 커널 2 ROSAEC 2011 동계워크샵 @ 통영 JESSIE? Frama-C 연역검증플러그인 프로그램분석 검증조건추출 증명 Hoare 논리에기초한프로그램검증도구 사용법 $ frama-c jessie
More informationuntitled
시스템소프트웨어 : 운영체제, 컴파일러, 어셈블러, 링커, 로더, 프로그래밍도구등 소프트웨어 응용소프트웨어 : 워드프로세서, 스프레드쉬트, 그래픽프로그램, 미디어재생기등 1 n ( x + x +... + ) 1 2 x n 00001111 10111111 01000101 11111000 00001111 10111111 01001101 11111000
More information소프트웨어 검증 및 설계
1 : 2018-03-21 Junit & IntelliJ 및빌드환경 Software Verification T1 [2018SV][T1] 201311263 김민환 201311308 전세진 201411278 서희진 201411317 조민규 1 INDEX 1. 2. 3. IDE IntelliJ Unit Test JUnit Build Configuration & CI
More informationPowerPoint Presentation
Software Verification T4 고수창전소영이세라하지윤 Index 1 CI 2 IntelliJ IDEA 3 JUnit 4 Build Environment 5 Git 1 Continuous Integration What is CI? 소프트웨어개발에서 Build/Test 의프로세스를지속적으로수행하는것 개발자생산성향상 버그의빠른발견및해결 더빠른업데이트제공
More information1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포
CR-15-78 WeGuardia WIPS V2.0 인증보고서 인증번호 : NISS-0650-2015 2015년 10월 IT보안인증사무국 1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다.
More information슬라이드 1
Gradle 1. 도구개요 2. 설치및실행 3. 주요기능 4. 활용예제 1. 도구개요 1.1 도구정보요약 도구명 소개 특징 Gradle (http://www.gradle.org) 소프트웨어빌드자동화도구 라이선스 Apache License v2.0 Gradle 을통해소프트웨어패키지나프로젝트의빌드, 테스팅, 퍼블리슁, 배포등을자동화할수있다. Ant 의유연성과기능을
More information게시판 스팸 실시간 차단 시스템
오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP
More information4장.문장
문장 1 배정문 혼합문 제어문 조건문반복문분기문 표준입출력 입출력 형식화된출력 [2/33] ANSI C 언어와유사 문장의종류 [3/33] 값을변수에저장하는데사용 형태 : < 변수 > = < 식 > ; remainder = dividend % divisor; i = j = k = 0; x *= y; 형변환 광역화 (widening) 형변환 : 컴파일러에의해자동적으로변환
More informationTTA Journal No.157_서체변경.indd
표준 시험인증 기술 동향 FIDO(Fast IDentity Online) 생체 인증 기술 표준화 동향 이동기 TTA 모바일응용서비스 프로젝트그룹(PG910) 의장 SK텔레콤 NIC 담당 매니저 76 l 2015 01/02 PASSWORDLESS EXPERIENCE (UAF standards) ONLINE AUTH REQUEST LOCAL DEVICE AUTH
More informationMicrosoft PowerPoint - 00_(C_Programming)_(Korean)_Computer_Systems
C Programming 컴퓨터시스템 (Computer Systems) Seo, Doo-Ok Clickseo.com clickseo@gmail.com 목 차 컴퓨터시스템 프로그래밍언어 2 컴퓨터시스템 컴퓨터시스템 컴퓨터하드웨어 컴퓨터소프트웨어 프로그래밍언어 3 컴퓨터시스템 컴퓨터시스템 하드웨어 : 물리적인장비 소프트웨어 : 프로그램 ( 명령어 ) 들의집합 Computer
More information이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론
이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More informationPowerPoint 프레젠테이션
ㆍ Natural Language Understanding 관련기술 ㆍ Semantic Parsing Conversational AI Natural Language Understanding / Machine Learning ㆍEntity Extraction and Resolution - Machine Learning 관련기술연구개발경험보유자ㆍStatistical
More information소니 아크 CONTENTS + 소니에릭슨의 엑스페리아 아크(XPERIA arc)는 SK텔레콤 전용으로 4월에 출시됐다. vol 엑스페리아 아크는 안드로이드 진저브레드 OS 4.2인치 디스플레이 야간 촬영 카메 라 센서 등의 사양을 갖추고 있으며, 3월 24일 일본에서
05 06 05 + 06 2011 소니 아크 CONTENTS + 소니에릭슨의 엑스페리아 아크(XPERIA arc)는 SK텔레콤 전용으로 4월에 출시됐다. vol 엑스페리아 아크는 안드로이드 진저브레드 OS 4.2인치 디스플레이 야간 촬영 카메 라 센서 등의 사양을 갖추고 있으며, 3월 24일 일본에서 최초로 출시한 바 있다. 04 KISA CEO 동정 아크는
More information품질검증분야공개 SW 솔루션목록 ( ) 순번분류솔루션명라이선스기술지원홈페이지제품개요 1 BTS Bugzilla MPL community 웹기반의 bug tracking 및테스트도구 2 BTS Fossil 2-c
1 BTS Bugzilla MPL http://www.bugzilla.org 웹기반의 bug tracking 및테스트도구 2 BTS Fossil 2-clause BSD http://www.fossil-scm.org 프로젝트에서파일을관리하는 소스컨트롤시스템 3 BTS Gemini Proprietary, Free for non-profit, Free for open
More informationAPI STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum
API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 2012.11.23 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Document Distribution Copy Number Name(Role, Title) Date
More informationThisJava ..
자바언어에정확한타입을추가한 ThisJava 소개 나현익, 류석영 프로그래밍언어연구실 KAIST 2014 년 1 월 14 일 나현익, 류석영 자바언어에정확한타입을추가한 ThisJava 소개 1/29 APLAS 2013 나현익, 류석영 자바 언어에 정확한 타입을 추가한 ThisJava 소개 2/29 실제로부딪힌문제 자바스크립트프로그램분석을위한요약도메인 나현익,
More information쉽게 풀어쓴 C 프로그래밊
Power Java 제 27 장데이터베이스 프로그래밍 이번장에서학습할내용 자바와데이터베이스 데이터베이스의기초 SQL JDBC 를이용한프로그래밍 변경가능한결과집합 자바를통하여데이터베이스를사용하는방법을학습합니다. 자바와데이터베이스 JDBC(Java Database Connectivity) 는자바 API 의하나로서데이터베이스에연결하여서데이터베이스안의데이터에대하여검색하고데이터를변경할수있게한다.
More information<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>
네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고
More informationPowerPoint 프레젠테이션
Software Verification Junit, Eclipse 및빌드환경 Team : T3 목차 Eclipse JUnit 빌드환경 1 Eclipse e 소개 JAVA 를개발하기위한통합개발환경 주요기능 Overall 빌드환경 Code edit / Compile / Build Unit Test, Debug 특징 JAVA Code를작성하고이에대한 debugging
More informationEclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일
Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 Introduce Me!!! Job Jeju National University Student Ubuntu Korean Jeju Community Owner E-Mail: ned3y2k@hanmail.net Blog: http://ned3y2k.wo.tc Facebook: http://www.facebook.com/gyeongdae
More information서현수
Introduction to TIZEN SDK UI Builder S-Core 서현수 2015.10.28 CONTENTS TIZEN APP 이란? TIZEN SDK UI Builder 소개 TIZEN APP 개발방법 UI Builder 기능 UI Builder 사용방법 실전, TIZEN APP 개발시작하기 마침 TIZEN APP? TIZEN APP 이란? Mobile,
More information제목 레이아웃
웹해킹이라고무시하는것들보소 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM SQL Injection 끝나지않은위협 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM Who am I 정도원 aka rubiya Penetration tester Web application bughuter Pwned 20+ wargame @kr_rubiya
More informationMicrosoft PowerPoint 자바-기본문법(Ch2).pptx
자바기본문법 1. 기본사항 2. 자료형 3. 변수와상수 4. 연산자 1 주석 (Comments) 이해를돕기위한설명문 종류 // /* */ /** */ 활용예 javadoc HelloApplication.java 2 주석 (Comments) /* File name: HelloApplication.java Created by: Jung Created on: March
More informationPowerPoint 프레젠테이션
HTML5 웹프로그래밍입문 부록. 웹서버구축하기 1 목차 A.1 웹서버시스템 A.2 PHP 사용하기 A.3 데이터베이스연결하기 2 A.1 웹서버시스템 3 웹서버의구축 웹서버컴퓨터구축 웹서버소프트웨어설치및실행 아파치 (Apache) 웹서버가대표적 서버실행프로그램 HTML5 폼을전달받아처리 PHP, JSP, Python 등 데이터베이스시스템 서버측에데이터를저장및효율적관리
More information커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서
커알못의 커널 탐방기 2015.12 이 세상의 모든 커알못을 위해서 개정 이력 버전/릴리스 0.1 작성일자 2015년 11월 30일 개요 최초 작성 0.2 2015년 12월 1일 보고서 구성 순서 변경 0.3 2015년 12월 3일 오탈자 수정 및 글자 교정 1.0 2015년 12월 7일 내용 추가 1.1 2015년 12월 10일 POC 코드 삽입 및 코드
More informationPowerPoint Template
JavaScript 회원정보 입력양식만들기 HTML & JavaScript Contents 1. Form 객체 2. 일반적인입력양식 3. 선택입력양식 4. 회원정보입력양식만들기 2 Form 객체 Form 객체 입력양식의틀이되는 태그에접근할수있도록지원 Document 객체의하위에위치 속성들은모두 태그의속성들의정보에관련된것
More informationMicrosoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]
Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google
More informationF1-1(수정).ppt
, thcho@kisaorkr IPAK (Information Protection Assessment Kit) IAM (INFOSEC Assessment Methodology) 4 VAF (Vulnerability Assessment Framework) 5 OCTAVE (Operationally Critical Threat, Asset, and Vulnerability
More information<4D F736F F F696E74202D20C1A63038C0E520C5ACB7A1BDBABFCD20B0B4C3BC4928B0ADC0C729205BC8A3C8AF20B8F0B5E55D>
Power Java 제 8 장클래스와객체 I 이번장에서학습할내용 클래스와객체 객체의일생직접 메소드클래스를 필드작성해 UML 봅시다. QUIZ 1. 객체는 속성과 동작을가지고있다. 2. 자동차가객체라면클래스는 설계도이다. 먼저앞장에서학습한클래스와객체의개념을복습해봅시다. 클래스의구성 클래스 (class) 는객체의설계도라할수있다. 클래스는필드와메소드로이루어진다.
More informationJVM 메모리구조
조명이정도면괜찮조! 주제 JVM 메모리구조 설미라자료조사, 자료작성, PPT 작성, 보고서작성. 발표. 조장. 최지성자료조사, 자료작성, PPT 작성, 보고서작성. 발표. 조원 이용열자료조사, 자료작성, PPT 작성, 보고서작성. 이윤경 자료조사, 자료작성, PPT작성, 보고서작성. 이수은 자료조사, 자료작성, PPT작성, 보고서작성. 발표일 2013. 05.
More information목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널
무선단말기와 PC간공인인증서전송을위한기술규격 Certificate Transmission between PC to Mobile Device v2.10 2012 년 11 월 목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 1 3.1 국외표준및규격 1 3.2 국내표준및규격 1 3.3 기타 2 4. 정의 2 4.1 전자서명법용어정의 2 4.2 용어의정의
More informationSpring Boot/JDBC JdbcTemplate/CRUD 예제
Spring Boot/JDBC JdbcTemplate/CRUD 예제 오라클자바커뮤니티 (ojc.asia, ojcedu.com) Spring Boot, Gradle 과오픈소스인 MariaDB 를이용해서 EMP 테이블을만들고 JdbcTemplate, SimpleJdbcTemplate 을이용하여 CRUD 기능을구현해보자. 마리아 DB 설치는다음 URL 에서확인하자.
More informationmytalk
한국정보보호학회소프트웨어보안연구회 총괄책임자 취약점분석팀 안준선 ( 항공대 ) 도경구 ( 한양대 ) 도구개발팀도경구 ( 한양대 ) 시큐어코딩팀 오세만 ( 동국대 ) 전체적인 그림 IL Rules Flowgraph Generator Flowgraph Analyzer 흐름그래프 생성기 흐름그래프 분석기 O parser 중간언어 O 파서 RDL
More information화해와나눔-여름호(본문)수정
02 04 08 12 14 28 33 40 42 46 49 2 3 4 5 6 7 8 9 Focus 10 11 Focus 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56
More information화해와나눔-가을호(본문)
02 04 06 09 12 27 30 36 38 43 46 56 2 3 4 5 6 7 Focus 8 9 Focus 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55
More information<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>
SIMATIC S7 Siemens AG 2004. All rights reserved. Date: 22.03.2006 File: PRO1_17E.1 차례... 2 심벌리스트... 3 Ch3 Ex2: 프로젝트생성...... 4 Ch3 Ex3: S7 프로그램삽입... 5 Ch3 Ex4: 표준라이브러리에서블록복사... 6 Ch4 Ex1: 실제구성을 PG 로업로드하고이름변경......
More information최종_백서 표지
정보보호 활동 제 제 제 제 제 제 장 장 장 장 장 장 인터넷 침해사고 대응 및 예방 활동 정보통신서비스 제공자 등의 정보보호 주요정보통신기반시설 보호 활동 전자정부 정보보호 활동 개인정보보호 활동 대국민 정보보호 활동 제 장 웹서버 파괴 및 대북 보수단체 홈페이지 14개의 자료가 삭제되는 등의 큰 피해로 이어졌다. 한편 6월 25일부터 정부기관, 언론사,
More informationDBMS & SQL Server Installation Database Laboratory
DBMS & 조교 _ 최윤영 } 데이터베이스연구실 (1314 호 ) } 문의사항은 cyy@hallym.ac.kr } 과제제출은 dbcyy1@gmail.com } 수업공지사항및자료는모두홈페이지에서확인 } dblab.hallym.ac.kr } 홈페이지 ID: 학번 } 홈페이지 PW:s123 2 차례 } } 설치전점검사항 } 설치단계별설명 3 Hallym Univ.
More informationResearch & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W
Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments
More informationSlide 1
Java 기반의오픈소스 GIS(GeoServer, udig) 를지원하는국내공간 DBMS 드라이버의개발 2013. 08. 28. 김기웅 (socoooooool@gmail.com) 임영현 (yhlim0129@gmail.com) 이민파 (mapplus@gmail.com) PAGE 1 1 기술개발의목표및내용 2 기술개발현황 3 커뮤니티운영계획 4 활용방법및시연 PAGE
More information본 해설서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 법 이라 한다) 제28조제1항과 같은 법 시행령 제15조제6항에 근거한 개인정보의 기술적 관리적 보호조치 기준 이 개정 고시(2009.8.7)됨에 따라 - 동 기준의 각 조항별 주안점과 구체적인 사례를
2009. 9 본 해설서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 법 이라 한다) 제28조제1항과 같은 법 시행령 제15조제6항에 근거한 개인정보의 기술적 관리적 보호조치 기준 이 개정 고시(2009.8.7)됨에 따라 - 동 기준의 각 조항별 주안점과 구체적인 사례를 제시함으로써 해석상 오해의 소지를 없애고, - 동 기준에 대한 올바른 이해를
More informationPowerPoint Template
설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet
More informationPowerPoint 프레젠테이션
Ubuntu 13.04 설치매뉴얼 작성일자 : 2013.05 cafe24 IDC 사업팀 설치이미지부팅 1. Ubuntu CD(DVD) 를넣고해당미디어로부팅을시킵니다. 2. 처음설치화면에서한국어를선택합니다. Ubuntu 설치 1. 우분투서버설치를선택합니다. 번역안내 1. 한국어설정에대한안내화면이출력됩니다. 아직은번역이완벽하지않다는내용임으로 무시하고 < 예 >
More informationSW 2015. 02 5-1 89
SW 2015. 02 88 SW 2015. 02 5-1 89 SW 2015. 02 5-2 5-3 90 SW 2015. 02 5-4 91 SW 2015. 02 5-5 5-6 92 5-7 SW 2015. 02 93 SW 2015. 02 5-8 5-1 94 SW 2015. 02 5-9 95 SW 2015. 02 5-10 5-2 96 SW 2015. 02 5-11
More information1 SW 2015. 02 26
02 1 SW 2015. 02 26 2-1 SW 2015. 02 27 SW 2015. 02 2-1 28 SW 2015. 02 29 2 SW 2015. 02 2-2 30 2-2 SW 2015. 02 31 SW 2015. 02 32 2-3 SW 2015. 02 33 3 SW 2015. 02 2-3 34 2-4 SW 2015. 02 35 4 SW 2015. 02
More information1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대
Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이
More informationIPv6 보안취약점동향 인터넷주소산업팀 정유경선임연구원, 김웅상책임연구원, 임준형팀장 2014년 9월, 국내 IPv6 상용서비스의개시와함께 IPv6 도입및전환이시작되었다. 국내외적으로 IPv6로의전환에따른관련통계자료들이증가추세를보이며실제환경속으로 IPv6주소가들어오고있
IPv6 보안취약점동향 2014. 11 IPv6 보안취약점동향 인터넷주소산업팀 정유경선임연구원, 김웅상책임연구원, 임준형팀장 2014년 9월, 국내 IPv6 상용서비스의개시와함께 IPv6 도입및전환이시작되었다. 국내외적으로 IPv6로의전환에따른관련통계자료들이증가추세를보이며실제환경속으로 IPv6주소가들어오고있다. IPv6 도입및전환에앞서인프라영역에서네트워크장비나
More information제11장 프로세스와 쓰레드
제9장자바쓰레드 9.1 Thread 기초 (1/5) 프로그램 명령어들의연속 (a sequence of instruction) 프로세스 / Thread 실행중인프로그램 (program in execution) 프로세스생성과실행을위한함수들 자바 Thread 2 9.1 Thread 기초 (2/5) 프로세스단위작업의문제점 프로세스생성시오버헤드 컨텍스트스위치오버헤드
More informationJUNIT 실습및발표
JUNIT 실습및발표 JUNIT 접속 www.junit.org DownLoad JUnit JavaDoc API Document 를참조 JUNIT 4.8.1 다운로드 설치파일 (jar 파일 ) 을다운로드 CLASSPATH 를설정 환경변수에서설정 실행할클래스에서 import JUnit 설치하기 테스트실행주석 @Test Test 를실행할 method 앞에붙임 expected
More informationPowerPoint 프레젠테이션
System Software Experiment 1 Lecture 5 - Array Spring 2019 Hwansoo Han (hhan@skku.edu) Advanced Research on Compilers and Systems, ARCS LAB Sungkyunkwan University http://arcs.skku.edu/ 1 배열 (Array) 동일한타입의데이터가여러개저장되어있는저장장소
More informationPowerPoint Presentation
객체지향프로그래밍 클래스, 객체, 메소드 ( 실습 ) 손시운 ssw5176@kangwon.ac.kr 예제 1. 필드만있는클래스 텔레비젼 2 예제 1. 필드만있는클래스 3 예제 2. 여러개의객체생성하기 4 5 예제 3. 메소드가추가된클래스 public class Television { int channel; // 채널번호 int volume; // 볼륨 boolean
More information<32303038C0CEC5CDB3DDB1A4B0EDBBEABEF7C0C7C7A5C1F62D322E6A7067>
(Internet Advertising Policy Focus) Internet Advertising Policy Focus 03 Internet Advertising Policy Focus 05 06 Internet Advertising Policy Focus Internet Advertising Policy Focus 07 08 Internet Advertising
More information<4D F736F F F696E74202D C0A5BCADB9F620BAB8BEC8BCB3C1A420B0A1C0CCB5E52E707074>
Apache 웹서버보안문제 웹서버 / 클라이언트 / 애플리케이션자체의버그 웹서버 / 클라이언트 / 애플리케이션설정의오류 침입차단시스템의웹서비스오픈 SANS TOP20 Vulnerabilities Top Vulnerabilities to Windows Systems Top Vulnerabilities to UNIX Systems W1. Web Servers &
More informationContents Contents 2 1 Abstract 3 2 Infer Checkers Eradicate Infer....
SV2016 정적분석보고서 201214262 라가영 201313250 서지혁 June 9, 2016 1 Contents Contents 2 1 Abstract 3 2 Infer 3 2.1 Checkers................................ 3 2.2 Eradicate............................... 3 2.3 Infer..................................
More informationOracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용
Oracle hacking 작성자 : 임동현 (ddongsbrk@naver.com) 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Skill List 1. Oracle For Pentest 1. Find TNS Listener (Default 1521 port) (with nmap or amap) 2. Get the
More informationPowerPoint Template
10. 예외처리 대구가톨릭대학교 IT 공학부 소프트웨어공학연구실 목차 2 10.1 개요 10.2 C++ 의예외처리 10.3 Java 의예외처리 10.4 Ada 의예외처리 10.1 예외처리의개요 (1) 3 예외 (exception) 오버플로나언더플로, 0 으로나누기, 배열첨자범위이탈오류와같이프로그램실행중에비정상적으로발생하는사건 예외처리 (exception handling)
More informationSQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자
SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전
More informationAhnLab_template
해킹과침해대응 웹해킹과대응 2013. 10. 17 ( 목 ) 안랩 ASEC 대응팀문영조 Contents 01 웹해킹과취약점 02 웹해킹기법에대한이해 03 웹해킹과침해대응 04 결론 01 웹해킹과취약점 개요 01. 웹해킹과취약점 < 출처 - IBM X-Force 2012 Annual Trend & Risk Report> 4 개요 01. 웹해킹과취약점 웹해킹 (Web
More information기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.
기술문서 14. 11. 10. 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 dokymania@naver.com I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라. Exploit 5 마. 피해 6 III. 결론 6 가. 권고사항 6 I. 소개 가. 역자 본문서는
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port
More informationPowerPoint Presentation
Package Class 3 Heeseung Jo 목차 section 1 패키지개요와패키지의사용 section 2 java.lang 패키지의개요 section 3 Object 클래스 section 4 포장 (Wrapper) 클래스 section 5 문자열의개요 section 6 String 클래스 section 7 StringBuffer 클래스 section
More information1. Eclipse 2. JUnit 3. STATIC ANALYSIS 4. PMD 5. Eclipse TPTP 6. FIND BUGS INDEX 2
2014 소프트웨어검증 Eclipse, JUnit, 정적분석도구 T1 200911381 김진현 200911417 정명권 200911418 정세진 1. Eclipse 2. JUnit 3. STATIC ANALYSIS 4. PMD 5. Eclipse TPTP 6. FIND BUGS INDEX 2 IDE ECLIPSE 3 Eclipse v Ide 의한종류 v 주로
More informationContents I. 취약점점검소개 II. III. IV. 점검프로세스분석 취약점점검방법 기타
Contents I. 취약점점검소개 II. III. IV. 점검프로세스분석 취약점점검방법 기타 . 취약점점검소개 Ⅲ 취약점점검소개 각기관에서제시한취약점분석항목비교 국내 / 국외 기관명 KISA 안전행정부 국내 금융보안연구원 국정원 안철수연구소 ( 민간기업 ) SK 인포섹 ( 민간기업 ) OWASP (Open-source application security
More information006- 5¿ùc03ÖÁ¾T300çÃâ
264 266 268 274 275 277 279 281 282 288 290 293 294 296 297 298 299 302 303 308 311 5 312 314 315 317 319 321 322 324 326 328 329 330 331 332 334 336 337 340 342 344 347 348 350 351 354 356 _ May 1 264
More information[Brochure] KOR_TunA
LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /
More informationC++ Programming
C++ Programming 예외처리 Seo, Doo-okok clickseo@gmail.com http://www.clickseo.com 목 차 예외처리 2 예외처리 예외처리 C++ 의예외처리 예외클래스와객체 3 예외처리 예외를처리하지않는프로그램 int main() int a, b; cout > a >> b; cout
More informationInsertColumnNonNullableError(#colName) 에해당하는메시지출력 존재하지않는컬럼에값을삽입하려고할경우, InsertColumnExistenceError(#colName) 에해당하는메시지출력 실행결과가 primary key 제약에위배된다면, Ins
Project 1-3: Implementing DML Due: 2015/11/11 (Wed), 11:59 PM 이번프로젝트의목표는프로젝트 1-1 및프로젝트 1-2에서구현한프로그램에기능을추가하여간단한 DML을처리할수있도록하는것이다. 구현한프로그램은 3개의 DML 구문 (insert, delete, select) 을처리할수있어야한다. 테이블데이터는파일에저장되어프로그램이종료되어도사라지지않아야한다.
More information월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호
안랩 온라인 보안 매거진 2016. 03 Patch Management System 월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호 법령 사항
More information?
Special Edition 26 Real Estate Focus 2014 May Vol.72 27 Special Edition 1 4 778 918 1,059 1,104 1,402 2,191 2 3 707 785 673 868 432 1,458 3 2 479 275 306 482 843 678 4 1 273 260 265 248 236 426 5-132 90
More informationBMP 파일 처리
BMP 파일처리 김성영교수 금오공과대학교 컴퓨터공학과 학습내용 영상반전프로그램제작 2 Inverting images out = 255 - in 3 /* 이프로그램은 8bit gray-scale 영상을입력으로사용하여반전한후동일포맷의영상으로저장한다. */ #include #include #define WIDTHBYTES(bytes)
More information4S 1차년도 평가 발표자료
모바일 S/W 프로그래밍 안드로이드개발환경설치 2012.09.05. 오병우 모바일공학과 JDK (Java Development Kit) SE (Standard Edition) 설치순서 Eclipse ADT (Android Development Tool) Plug-in Android SDK (Software Development Kit) SDK Components
More information제 호 년 제67차 정기이사회, 고문 자문위원 추대 총동창회 집행부 임원 이사에게 임명장 수여 월 일(일) 년 월 일(일) 제 역대 최고액 모교 위해 더 확충해야 강조 고 문:고달익( 1) 김병찬( 1) 김지훈( 1) 강보성( 2) 홍경식( 2) 현임종( 3) 김한주( 4) 부삼환( 5) 양후림( 5) 문종채( 6) 김봉오( 7) 신상순( 8) 강근수(10)
More informationChap 6: Graphs
5. 작업네트워크 (Activity Networks) 작업 (Activity) 부분프로젝트 (divide and conquer) 각각의작업들이완료되어야전체프로젝트가성공적으로완료 두가지종류의네트워크 Activity on Vertex (AOV) Networks Activity on Edge (AOE) Networks 6 장. 그래프 (Page 1) 5.1 AOV
More informationMicrosoft PowerPoint - ch07 - 포인터 pm0415
2015-1 프로그래밍언어 7. 포인터 (Pointer), 동적메모리할당 2015 년 4 월 4 일 교수김영탁 영남대학교공과대학정보통신공학과 (Tel : +82-53-810-2497; Fax : +82-53-810-4742 http://antl.yu.ac.kr/; E-mail : ytkim@yu.ac.kr) Outline 포인터 (pointer) 란? 간접참조연산자
More informationContents. 1. PMD ㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍ 2. Metrics ㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍ 3. FindBugs ㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍ 4. ㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍ
정적분석서 - 영단어수집왕 - Team.# 3 과목명 소프트웨어모델링및분석 담당교수 유준범교수님 201011320 김용현 팀원 201111360 손준익 201111347 김태호 제출일자 2015-06-09 1 Contents. 1. PMD ㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍㆍ 2. Metrics
More information표준프레임워크로 구성된 컨텐츠를 솔루션에 적용하는 것에 문제가 없는지 확인
표준프레임워크로구성된컨텐츠를솔루션에적용하는것에문제가없는지확인 ( S next -> generate example -> finish). 2. 표준프레임워크개발환경에솔루션프로젝트추가. ( File -> Import -> Existring Projects into
More information