XSS(Cross Site Scripting)
스크립트를 삽입하여, 웹 애플리케이션에서 순수하게 제공되는 동작 외에 일어나는 악의적인 행위를 말한다.
보안 방법
- HTML을 지원하지 않게 한다.
- 화이트 리스트 방식 허용을 한다
정량적 위험분석
산출 개념 : 위험 발생 확률 * 손실 크기 = 기대 위험 가치 분석접근 유형 : 수학공식 접근법, 확률 분포 추정법, 확률 지배, 몬테카를로 시뮬레이션, 과거 자료 분석법
장점 : 객관적인 평가 기준 적용, 논리적으로 평가되어 이해가 쉬움, 위험 관리 성능 평가 용이
단점 : 많은 시간과 비용이 소요, 자동화의 경우, 정확도의 변이
- ALE(연간 예상 손실)
- 단일 예상손실(SLE) = 자산가치 * 노출계수
- 연간 예상손실(ALE) = 단일 예상손실 * 연간 발생률
- 분석방법
- 과거자료분석법
- 수학공식접근법
- 확률분포법
- 점수법
정성적 위험분석
산출 개념 : 손실 크기를 화폐가치로 표현하기 어려움, 위험 크기는 기술 변수로 표현접근 유형 : 델파이법, 시나리오 법, 순위 결정법, 퍼지 행렬법, 질문서법
장점 : 가치 평가 및 계산이 필요 없음
단점 : 주관적인 평가 우려, 결과의 이해가 어려움, 위험관리 성능 추적이 어려움
- 델파이법 : 전문가 집단의 토론
- 시나리오법 : 발생 가능한 사건의 이론적인 추측
- 순위결정법
댓글 없음:
댓글 쓰기