MS-SDL 에서는 위험도를 계산하기 위해 DREAD를 이용한다.
DREAD 각 항목은 1~10점으로 평가하며, 1은 낮은 심각성 또는 발생확률이고 10은 높은 심각성 또는 발생확
이다. 위험도는 전체의 산술평균값(전체를 더한 결과/5)을 사용한다.
- 예상피해(Damage potential), 피해가 얼마나 클것인가?
0 = 없음
5 = 개별 사용자 데이터가 손상되거나 영향을 받는다.
10 = 전체 시스템 또는 데이터가 삭제된다.
- 재현확률(Reproducibility), 공격이 성공할 확률이 얼마인가?
0 = 심지어 응용 프로그램 관리자조차도 매우 어렵거나 불가능하다.
5 = 하나 또는 두단계가 필요하거나, 허가된 사용자만 가능하다.
10 =그냥 웹 브라우저 주소 표시 줄에서도 인증없이 가능하다.
- 공격용이도(Exploitability), 공격을 위해 얼마나 많은 노력과 기술이 필요한가?
0 = 고급 프로그래밍 기술과 네트워크 기술이 포함되는 사용자 정의나 고급 공격 도구
사용한다.
5 = 악성 프로그램이 인터넷 상에 존재하거나, 가능한 공격 도구 사용한다.
10 = 웹 브라우저만 사용한다.
- 영향을 받는 사용자(Affected users), 위협이 악용되어 공격이 되었다고 할 때 얼마나
많은 사람이 영향을 받는가?
0 = 없음
5 = 전체가 아닌 몇몇 사용자
10 = 모든 사용자
- 발견용이성(Discoverability), 취약점을 발견하기 쉬운가?
0 = 불가능하거나 매우 어렵다. 소스 코드 또는 관리자 권한 액세스 요구된다.
5 = 추측하거나 네트워크 모니터링을 통해 알아낸다.
9 = 이 같은 오류의 세부 사항이 이미 공개되어 쉽게 검색 엔진을 사용하여 검색 할 수
있다.
10 = 정보가 웹 브라우저 주소 표시 줄에서 볼 수있다.
'보안 > 시큐어코딩' 카테고리의 다른 글
| [시큐어코딩실습] CSRF 방어를 위한 CAPCHA 사용방법 (0) | 2014.12.10 |
|---|---|
| [시큐어코딩실습] 패스워드 정책 적용 (0) | 2014.12.02 |
| DB암호화 (0) | 2014.11.08 |
| [시큐어코딩실습] 로그인 시도 횟수 제한 (0) | 2014.11.07 |
| 시큐어코딩세미나 (0) | 2014.11.04 |