해킹 방어를 위한 JAVA 시큐어코딩

Part 1. 안전한 소프트웨어 개발 방법론
Chapter 1. 시큐어코딩의 개요
1. 소프트웨어 개발보안의 필요성
네트워크 보안
시스템 보안
애플리케이션 보안
2. 침해 사고 사례
보안 사고 사례
3. 보안취약점 정보 활용
CWE
SANS
CVE
CERT
OWASP
4. 행정자치부 소프트웨어 개발보안 가이드
설계 단계 보안요구항목
구현 단계 보안약점
구현 단계 보안약점과 설계 단계 보안요구항목의 연관 관계

Chapter 2. 개발보안 방법론
1. 소프트웨어 개발보안 방법론
2. MS-SDL
3. Seven Touchpoints
4. OWASP CLASP
개념 뷰(Concepts View)
역할 기반 뷰(Role-based View)
활동 평가 뷰(Activity-Assessment View)
활동 구현 뷰(Activity-Implements View)
취약성 뷰(Vulnerability View)
5. 안전한 소프트웨어 개발?도입을 위한 보안가이드
시작 단계 보안 프로세스
분석 단계 보안 프로세스
설계 단계 보안 프로세스
구현 단계 보안 프로세스
시험 단계 보안 프로세스


Part 2. 안전한 소프트웨어를 만드는 시큐어코딩 기법
Chapter 3. 웹 애플리케이션 보안을 위한 기본 지식
1. 실습 환경 구축
실습 환경 다운로드 및 설치
프록시 툴 Paros 다운로드 및 설치
2. HTTP와 웹 구조
웹 애플리케이션 서버와 웹 프레임워크 구조의 이해
HTTP 구조
3. 인증과 인가
웹 인증 방식
세션을 사용하지 않는 HTTP 인증
세션을 사용하는 HTTP 인증
4. 세션과 쿠키
세션
쿠키
5. 인코딩 스키마
ASCII
URL 인코딩
HTML 인코딩
Base64 인코딩
6. 정규식
자바스크립트에서 정규식 사용하기
자바 프로그램에서 정규식 사용하기
7. 로그 관리와 로그 분석
W3C 포맷
NCSA 포맷
분석 툴을 이용한 로그 분석

Chaper 4. 보안취약점 제거를 위한 코딩
1. 입력값 검증 부재와 삽입
SQL 삽입
운영체제 명령어 삽입
XPath 삽입
LDAP 삽입
SOAP 삽입
2. 세션 및 인증 관리 취약
세션 관리
인증 관리
3. 크로스 사이트 스크립팅
4. 크로스 사이트 요청 위조
5. 파일 업로드/다운로드 취약점
6. 중요 정보 노출
암호화 정책과 안전한 DB 데이터 관리
민감한 데이터 노출
7. 파라미터 조작과 잘못된 접근제어
8. 안전하지 않은 리다이렉트와 포워드
9. HTTP 응답 분할
10. 잘못된 보안 설정
디렉토리 리스팅
에러 노출
디폴트 설정 노출
취약한 컴포넌트 사용

Chapter 5. 안전하지 않은 코딩 스타일
1. 안전하지 않은 예외 처리
오류 메시지를 통한 정보 노출
오류 상황 대응 부재
부적절한 예외 처리
2. 널 포인트 역참조
3. 정수 오버플로우
4. 스레드 공유 데이터에 대한 동기화 처리 부재
5. 캡슐화 위배
6. 잘못된 API 사용
7. 민감한 데이터에 접근하는 내부클래스
8. System.exit() 사용
9. 배포시 제거되지 않고 남아 있는 코멘트 또는 디버깅 코드


Part 3. 소프트웨어 보안 강화 기법
Chapter 6. 오픈소스 보안 라이브러리 활용
1. ESAPI를 이용한 보안 강화
ESAPI 개요
ESAPI 라이브러리 활용
사용자(User)와 인증 처리(Authenticator)
HTTP Session 관리(HTTPUtilities)
입력값 유효성 검증(Validator)과 인코딩(Encoder)
액세스 제어(AccessController)
액세스 참조맵(AccessReferenceMap)
암호화(Encryptor)
로깅(Logging)
침입탐지(IntrusionDetector)
예외 처리(Exception Handling)

Chapter 7. 보안약점 진단 도구 활용
1. 보안약점 진단 도구
2. 정적 분석
정적 분석 개요
FindBugs와 FindSecurityBugs 를 이용한 정적 분석
정적 분석 결과 보고서
3. 동적 분석
동적 분석 개요
Paros를 이용한 동적 분석
OWASP ZAP을 이용한 동적 분석