NCS essay question
NCS 서술형 풀이
- 과정명 : 정보보안전문가양성-침해대응
- 교과목 : 파이썬을 이용한 개발 보안 구축 및 시큐어 코딩
- 능력단위명
- 애플리케이션 보안 운영(LM2001060109_16v1)
- 보안 취약점을 쓰시오(애보운)
- CVE(Common Vulnerabilities and Exposure)
=> 알려진 보안 취약점에 대한 정보를 효과적으로 공유하고 대처하기 위하여 미국 MITRE 재단이 제공하고 있는 보안 취약점 목록 체계이다. CVE는 ʻCVE-0000-0000ʼ 형식으로 표현되며 2번째 4자릿수는 취약점이 등록된 해이며, 3번째 4자릿수는 등록 번호(등록순 부여)로서, 2015년부터는 자릿수에 제한을 두지 않고 필요에 따라 늘려 사용할 수 있도록 하였다. - CWE(Common Weakness Enumeration)
=> CVE가 발견된 보안 취약점의 목록을 정리하고 공유하는 목적이라면 CWE는 일반적인 취약점을 열거하여 소프트웨어 취약점 유형을 정형화한 목록을 소프트웨어 개발자 및 보안 관계자에 제공하기 위한 것이다. CVE와 동일하게 MIRTE에서 제공하고 있다. - CWE/SANS Top25
=> CWE에서 심각한 소프트웨어 취약성을 유발시킬 수 있는 치명적인 약점을 정리한 목록이다. 소프트웨어 개발 단계에서 흔히 발생되는 오류를 사전에 방지함으로써 취약점을 사전에 예방할 수 있도록 프로그래밍, 설계, 아키텍처의 오류에 대한 자료를 제공한다. - OWASP(the Open Web Application Security Project) Top 10
=> MITRE, PCI DSS, DISA, FTC 등 다양한 기관이 참여하여 애플리케이션 보안 위험 상위 10개를 선저앟여 발표하고 이다. 홈페이지(www.owasp.org)를 통하여 애플리케이션 보안 위험뿐만 아니라 보안 도구와 표준, 안전한 코드 개발 및 보안성 검토, 라이브러리 등을 제공하고 있다.
=> 최신 버전 OWASP 2021 Top 10
A01. Broken Access Control
A02. Cryptographic Failures
A03. Injection
A04. Insecure Design
A05. Security Misconfiguration
A06. Vulnerable and Outdated Components
A07. Identification and Authentication Failures
A08. Software and Data Integrity Failures
A09. Security Logging and Monitoring Failures
A10. Server-Side Request Forgery
- CVE(Common Vulnerabilities and Exposure)
'[KITRI] 교육 - 침해대응 26기' 카테고리의 다른 글
| [NCS 서술형] 애플리케이션 보안 운영 - 3 (0) | 2022.05.11 |
|---|---|
| [NCS 서술형] 애플리케이션 보안 운영 - 1 (0) | 2022.05.11 |
| [NCS 서술형] 소프트웨어 개발 보안 구축 - 2 (0) | 2022.05.11 |
| [NCS 서술형] 소프트웨어 개발 보안 구축 - 1 (0) | 2022.05.11 |