메뉴바로가기
메인메뉴 바로가기
컨텐츠 바로가기
 Loading... 

컨텐츠

교육과정 상세보기

교육과정 상세보기

실무에 바로쓰는 시큐어코딩

교육정보
교육 일정
교육 개요 ▪ 본 교육과정은 보안위협을 사전에 방지하고자 개발부터 보안을 염두에 둔 코딩기법을 학습하는 과정입니다.
▪ 2015년 1월부터 40억 이상의 모든 정부기관 프로젝트에 시큐어 코딩을 의무화한다고 발표했지만 국내 진행되고 있는 많은 시큐어코딩 교육은 간단한 이론과 시연 교육으로 보안 취약점 진단에 중점을 둔 교육이 진행되고 있습니다.
▪ 그러나 현업에서 절실히 요구되는 교육은 취약점을 제거하거나 안전한 소프트웨어를 개발하기 위한 보안 프레임워크의 활용과 같은 내용이 포함되어야 하므로 취약점이해 > 모의공격테스트 > 공격의영향 > 원인이되는 프로그램의 취약점제거 > 모의공격테스트 > 안전성 확인의 순서로 진행되어 실무에 바로 적용 가능한 패스트레인의 “시큐어 코딩” 교육에서 답을 찾으실 수 있습니다.
교육 목적 ▪ 보안 개발방법론과 위협모델링을 프로젝트에 적용할 수 있다.
▪ 웹 애플리케이션 보안 취약점 이해하고 보안코딩 기법을 프로젝트에 적용할 수 있다.
▪ 시큐어코딩 가이드 나 취약점DB를 이해하고 프로젝트에 적용할 수 있다.
▪ 오픈소스 보안 프레임워크의 기능을 이해하고 프로젝트에 적용할 수 있다.
▪ 보안 취약점 진단 도구를 이용한 진단 결과를 프로젝트에 적용할 수 있다.
▪ 안전한 소프트웨어 개발을 위해 소프트웨어 개발 라이프 사이클의 각 프로세스별 적절한 보안 활동을 이해하고 프로젝트에 적용하는 기법을 이해한다.
▪ 교육과정은 웹애플리케이션의 가장 위험한 10가지 취약점(OWASP TOP 10 기준)을 대상으로 다음 5개 단계의 이론과 실습이 병행된다.
- 1단계: 자바기반의 웹 애플리케이션의 보안 취약점 점검
- 2단계: 모의 공격을 통해 취약점이 어떻게 공격되며, 공격성공이 미치는 영향 이해
- 3단계: 취약점의 원인이 되는 소스 코드 확인
- 4단계: 취약점을 제거하기 위한 소스 코드 수정(보안코딩기법적용)
- 5단계: 모의해킹 및 보안진단 툴을 활용하여 취약점 진단
▪ 또한 자바 개발자들의 안전하지 않은 코드 생산 습관(에러처리, null처리, 캡슐화위배, 스레드 동기화, 잘못된API사용 등과 같은)으로 인해 발생가능한 취약점들을 설명하고 안전한 코딩 스타일 표준을 제시한다.
▪ CVE, CWE, SANS, OWASP, CERT, 안행부, 국정원 에서 제공하고 있는 취약점DB나 코딩규칙들을 이해하고 프로젝트에 적용할 수 있도록 설명한다.
▪ 오픈소스 보안 프레임워크를 프로젝트에 적용할 수 있도록 기본 환경설정 및 사용법을 소개하여 향후 프로젝트에서 활용할 수 있도록 가이드한다.
교육 기간 3일(21시간)
교육비 1,200,000 원
교재 (-)
선수 지식 ▪ 선수 지식
- 자바 프로그래밍
- 서블릿/JSP
- Spring 프레임워크, ORM 프레임워크

▪ 선수과정 및 후속과정
- 선수과정: 자바 프로그래밍, 서블릿/JSP, Spring 프레임워크 활용, TCP/IP
- 후속과정: Spring Security 3을 활용한 보안 강화, ESAPI를 적용한 자바 웹 프로젝트 보안 강화
교육 대상 ▪ SI 개발자
▪ 소프트웨어 유지보수 담당자(SM)
▪ 보안담당자
▪ QA
▪ 테스터
▪ 소프트웨어보안취약점 진단원
교육 내용

1 일차

1. 보안 설계 이해

1.1 시큐어코딩 개요

1.2 보안 개발 방법론

1.3 보안 취약점 DB 활용

2. 시큐어코딩 위한 기본지식

2.1 실습 환경 설정 사고유형

2 일차

3. 보안 위협 이해및 보안 코딩 기법

3.1 인젝션

3.2 인증과 세션관리 취약

3.3 크로스사이트 스크립트(XSS)

3.4 크로스사이트요청위조(CSRF)

3.5 파일업로드/다운로드 취약점

3 일차

3. 보안 위협 이해및 보안 코딩 기법

3.6 중요 정보 노출

3.7 잘못된 접근제어

3.8 안전하기 않은 리다이렉트와 포워드

3.9 기타 입력값 검증 부재 취약점들

3.10 잘못된 보안 설정

4. 안전하지 않은 코딩 스타일

4.1 안전하지 않은 예외처리

4.2 널포인트 역참조

4.3 스레드 공유데이터에 대한 동기화 처리 부재

4.4 캡슐화 위배

4.5 잘못된 API 사용

5. 보안약점 진단 도구 활용

5.1 정적분석


수강후기