국립세종도서관
상세검색 닫기
자료유형
본문언어
출판년도 ~
정렬
검색 화면지우기 닫기
상세검색 +
검색

기타

  • 홈으로
글씨 글씨 확대 글씨 축소
(전자정부 SW 개발·운영자를 위한) Java 시큐어코딩 가이드 / 지은이 : 행정자치부,한국인터넷진흥원
(전자정부 SW 개발·운영자를 위한) Java 시큐어코딩 가이드 책표지
  • ·표제/책임표시사항 (전자정부 SW 개발·운영자를 위한) Java 시큐어코딩 가이드 / 지은이 : 행정자치부,한국인터넷진흥원
  • ·발행사항 서울 : 생각쉼표 :휴먼컬처아리랑, 2015
  • ·형태사항 320 p. :삽화 ;22 cm
  • ·주기사항 참고문헌: p. 320
  • ·표준번호/부호 ISBN: 9791155654170  93370 : \33000 
  • ·분류기호 한국십진분류법-> 004.61  듀이십진분류법-> 005.8  
  • ·주제명 소프트웨어 보안[--保安]자바 프로그래밍[Java programming]컴퓨터 보안[--保安]
권별정보 자료위치출력 관심도서 보기 관심도서 담기

※ 좌우로 스크롤하시면 내용이 보입니다.

권별정보 안내
신청 편/권차 편제 저작자 발행년도 등록번호 청구기호 자료있는 곳 자료상태 예약자 반납예정일 매체구분
지은이: 행정자치부,한국인터넷진흥원 2015 SE0000375617 004.61-17-19 일반자료실(서고) 서고 비치(온라인 신청 후 이용) 0 - 인쇄자료(책자형) 
※ 신청 종류
- 대출예약신청:
자료상태가 ‘대출중’인 경우 해당 도서를 예약하여 도서 반납 시 우선적으로 대출받을 수 있는 서비스
- 청사대출신청:
정부세종청사(6-3동, 2-1동)에 위치한 무인예약도서대출반납기에서 도서 수령‧반납이 가능한 서비스
- 무인대출신청:
도서관 1문(정문)에 위치한 무인예약도서대출기에서 도서 수령이 가능한 서비스
- 서고자료신청:
서고에 보관된 자료에 대한 열람신청 서비스 이용방법: 로그인 → 자료검색 → [상세정보] 클릭 → 권별정보에서 자료 선택 →[서고자료신청] → 자료비치완료 문자 수신 → 해당 자료실에서 자료 수령
서가 둘러보기
서가둘러보기 로딩중
목록보기 

목차


제 1장 개요
01 제1절 배경 
02 제2절 가이드 목적 및 구성 

제2장 시큐어코딩 가이드  
03 제1절 입력데이터 검증 및 표현 
1. SQL 삽입3
2. 자원 삽입9
3. 크로스사이트 스크립트13
4. 운영체제 명령어 삽입18
5. 위험한 형식 파일업로드20
6. 신뢰되지 않은 URL 주소로 자동접속연결26
7. XQuery 삽입32
8. Xpath 삽입37
9. LDAP삽입43
10. 크로스사이트 요청 위조45
11. 디렉터리 경로조작47
12. HTTP 응답분할55
13. 정수 오버플로우 59
14. 보호 메커니즘을 우회 할 수 있는 입력값 변조63
15. SQL 삽입공격:JDO65 
16. SQL 삽입공격: Persistence 69
17. SQL 삽입공격: mybatis Data Map 75
18. LDAP 처리78
19. 시스템 또는 구성 설정의 외부 제어81
20.크로스 사이트 스크립트 공격 취약점: DOM86
21 동적으로 생성되어 수행되는 명령어 삽입90
22. 프로세스 제어94
23. 안전하지 않은 리플렉션98
24. 무결성 점검 없는 코드 다운로드103
25. SQL 삽입공격: Hibernate존106
26. 보안결정을 신뢰할 수 없는 입력 값에 의존110

115 제 2절 보안기능
1. 적절한 인증없는 중요기능 허용115
2. 부적절한 인가120
3. 중요한 자원에 대한 잘못된 권한설정125
4. 취약한 암호화 알고리즘 사용128
5. 사용자 중요정보 평문 저장(또는 전송)133
6. 하드코드된 패스워드138
7. 충분하지 않은 키 길이 사용142
8. 적절하지 않는 난수 값사용145
9. 패스워드 평문 저장147
10. 패스워드 평문저장151
11. 취약한 패스워드 허용155
12. 사용자 하드디스크에 저장되는 쿠키를 통한 정보노출157
13. 보안속성 미적용으로 인한 쿠키노출162
14. 주석문 안에 포함된 패스워드 등 시스템 주요정보165
15. 솔트 없이 일방향 해쉬함수 사용167
16. 무결정 검사없는 고드 다운로드169
17.사이트 간 요청위조171
18. 적절하지 못한 세션만료174
19. 패스워드 관리: 힙 메모리조사176
20. 하드코드된 사용자 계정181
21. 취약한 암호화: 적절하지 못한 RSA 패딩186
22. 취약한 암호화 해쉬함수:하드코드된 솔트189
23. 패스워드 관리: 리다이렉트 시 패스워드191
24. 같은 포트번호로의 다중 연결194

제3절 시간 및 상태
1. 경쟁 조건: 검사시점과 사용시점
2. 제어문을 사용하지 않는 재귀함수
3. 경쟁 조건: 정적 데이터베이스 연결
4. 경쟁 조건: 싱글톤 멤버 필드
5. J2EE 잘못된 습관: 스레드의 직접 사용
6. 심볼릭명이 정확한 대상에 매핑되어 있지 않음
7. 중복 검사된 잠금

제4절 에러 처리
1. 오류 메시지 통한 정보 노출
2. 오류 상황 대응 부재
3. 적절하지 않은 예외처리
4. 취약한 패스워드 요구조건

제5절 코드 오류
1. 널(Null)포인터 역참조
2. 부적절한 자원 해제
3. 코드 정확성: notity() 호출
4. 코드 정확성: 부정확한 serialPersistentFields
5. 코드 정확성: Thread.run() 호출
6. 코드 정확성: 동기화된 메소드를 비동기화된 메소드로 재정의
7. 무한 자원 할당

제6절 캡슐화
1. 잘못된 세션에 의한 데이터 정보 노출
2. 제거되지 않고 남은 디버그 코드
3. 시스템 데이터 정보 노출
4. Public 메소드로부터 반환된 private 배열
5. private 배열에 Public 데이터 할당
6. 민감한 데이터를 가진 내부 클래스 사용
7. Final 변경자 없는 주요 공용 변수
8. 동적 클래스 로딩 사용

제7절 API 오용
1. DNS lookup에 의존한 보안결정
2. J2EE: 직접 연결 관리
3. J2EE: 직접 소켓 사용
4. J2EE: System.exti()사용
5. 널(Null) 매개변수 미검사
6. EJB: 소켓 사용
7. equals()와 hashCode() 하나만 정의

제3장 용어정리 및 참고문헌
제1절 용어정리
제2절 참고문헌