ARTIFEX ;)

이벤트 핸들러는 웹 애플리케이션에서 사용자 상호작용을 감지하고 적절히 처리하기 위해 사용되는 기능입니다. 하지만 이벤트 핸들러를 잘못 구현하거나 취약하게 설계할 경우 보안 취약점이 발생할 수 있습니다. 이벤트 핸들러를 보안 관점에서 설명하면 다음과 같습니다:XSS (Cross-Site Scripting):일부 이벤트 핸들러는 사용자 입력을 처리하거나 특정 조작에 의해 실행됩니다. 이때 사용자 입력이 충분히 필터링되지 않고 이벤트 핸들러에 직접 삽입될 경우 XSS 취약점이 발생할 수 있습니다. 공격자는 악의적인 스크립트를 삽입하여 사용자 브라우저에서 실행할 수 있습니다.CSRF (Cross-Site Request Forgery):일부 이벤트 핸들러는 사용자의 액션을 특정 요청으로 전환할 수..

# HSTS (HTTP Strict Transport Security)간단히 기술하자면, Web Site에 접속할 때, 강제적으로 HTTPS Protocol로만 접속하게 하는 기능.HTTPS Protocol을 지원하는 Web Site에서 자신은 HTTPS Protocol만 사용해서 통신할 수 있음을 접속하고자 하는 Web Browser에게 알려 주는 기능이다. 요약하면, 보안을 강화시킬 목적으로, Web Browser에게 HTTPS Protocol만 사용하도록 강제하는 기능이다.HSTS 사용하기 위해선 Web Browser에서도 HSTS 기능을 지원해야 제대로 동작한다.(IE는 11 버전부터, Chrome은 4 버전부터 지원)HSTS 기능을 사용하려면 Web Server 및 Browser 둘 다 ..

# 7.4.3 Alignment of responsibilities (책임의 조정)Tier사 선정이 완료되면, OEM과 Tier사는 아래 내용을 포함한 사이버보안 협약서(CIA)에 명시해야 하며, 프로젝트 시작일 전까지 합의해야 함.보안에 관련된 OEM/Tier사의 담당자 지정OEM/Tier사 별 각각 수행해야 하는 보안 활동의 식별ㄱ. OEM에 의해 수행되는 차량 사이버보안 검증ㄴ. 개발 이후 보안 활동공유할 정보 및 작업 산출물ㄱ. 취약점 관련 정보 공유 절차 수립 및 산출물 전달 등ㄴ. 데이터의 적절한 처리 및 데이터 전달 시 네트워크 보안(고객과 공급업체의 호환성 보장을 위해 인터페이스 관련 프로세스, 방법, 도구 등)ㄷ. Item의 변경사항을 상호 간 전달하고 문서화ㄹ. 역할 정의ㅁ..

ISO/SAE 21434:2021ISO/SAE 21434를 둘러싼 내용에 대한 올바른 이해는 매우 중요하다.두 방향을 시작점으로 설정 :ISO/SAE 21434가 개발할 실제 제품을 훨씬 넘어서는 광범위한 영향에 대한 의사 결정자 및 경영진 수준의 지식엔지니어링 및 프로젝트 수준에서 표준의 요구 사항, 권장 사항 및 승인 평가뿐만 아니라 프로세스 정의 및 계획에 대한 특정 전문 지식.이 두 방향은 프로세스에서 겹친다.  이러한 방식으로만 특정 제품 수명 주기에 따라 탄력적인 사이버 보안을 달성하기 위해 자신의 작업에 대한 조직별 방식으로 각각 누락된 표준 세부 사항의 명확성과 정확성 부족을 보완할 수 있다.이 표준은 구성 요소 및 인터페이스를 포함하여 도로 차량의 전기 및 전자 시스템(E/..

AWS에서는 한국 ISMS-P 인증을 위해 별도 Config Rule List를 제공하고 있습니다.(관련 링크는 하단)해당 목록은 ISMS-P 인증 기준의 항목별로 AWS Config를 매칭시켜 제공해 주고 있습니다.다만 추가적으로 환경 등에 맞게 수정 및 적용해야 하는 부분 등에 대한 이슈가 있어 이 부분은 추후 설명하여 링크를 남기겠습니다.(link : 예정)그래도 일단 공식적으로 AWS에서 ISMS-P 인증을 위한 항목별 매칭에 대한 내용은 명시가 되어 있습니다.AWS Config Rule Policy에서는 관리 또는 사용자 지정 규칙 및 수정 조치를 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 생성할 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. AWS Config 샘플 ..