CODELIB

컴퓨터에서 데이터를 부호화하는 것을 인코딩(encoding)이라하고부호화된 데이터를 부호화되기 전으로 되돌리는 것을 디코딩(decoding)이라 한다. 문자, 기호, 숫자 데이터를 부호화하는 것도 인코딩이고부호화된 문자, 기호, 숫자 데이터를 부호화되기 전으로 되돌리는 것도 디코딩이다. 지구상에는 수많은 문자와 기호가 있다. 문자 인코딩 방식 중 전세계 문자와 기호를 원활하게 인코딩하는 방식이 UTF-8 이다. 예전에는 영어문자만을 위한 ASCII가 쓰였으나 ANSI, ISO-8859-1로 발전하여현재는 전세계 문자와 기호를 인코딩하는데 UTF-8 이 사용되고 있다. 그래서 html문서 작성시 head부분에 이 html문서의 문자셋(=문자집합 : character set : charset)이 utf-8로..

Secure Coding Java - SQL injection 입력 데이터 검증 및 표현 프로그램 입력 값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정, 일관되지 않은 언어셋 사용 등으로 인해 발생되는 보안약점으로 SQL 삽입, 크로스사이트 스크립트(XSS) 등의 공격을 유발할 수 있다. SQL 삽입(Improper Neutralization of Special Elements used in an SQL Command, SQL Injection) 1. 정의 데이터베이스(DB)와 연동된 웹 어플리케이션에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우, 공격자가 입력 폼 및 URL 입력란에 SQL 문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 보안약점을 말한다. SQL..

1. 시큐어코딩(secure coding) 이란?소프트웨어(SW)를 개발함에 있어 개발자의 실수, 논리적 오류 등으로 인해 SW에 내포될 수 있는 보안취약점(vulnerability)을 배제하기 위한 코딩 기법을 뜻 한다. 2. 시큐어코딩의 국내ㆍ외 배경SW 개발보안의 중요성을 인식한 미국의 경우, 국토안보부(DHS)를 중심으로 시큐어코딩을 포함한 SW 개발 전과정(설계ㆍ구현ㆍ시험 등)에 대한 보안활동 연구를 활발히 진행하고 있다. 국내의 경우 2009년부터 전자정부서비스 개발단계에서 SW 보안약점을 진단하여 제거하는 시큐어코딩 관련 연구를 진행하면서,2012년까지 전자정부지원사업 등을 대상으로 SW 보안약점 시범진단을 수행하였다. 또한, 2012년 년 6월부터는 행정안전부 '정보시스템 구축ㆍ운영 지침(..