참고문헌 및 사이트
- 웹 모의해킹 및 시큐어코딩 진단가이드(최경철, 김태한)
1) 기술적 취약점 진단
- 해킹 등에 의한 사이버 위협에 대한 주요시설의 취약점을 종합적으로 분석하고 개선하는 작업
2) 기술적 취약점 진단 유형
① 업무서버, 네트워크 장비, 보안장비
- 서버, 장비 등의 불필요한 서비스/포트/데몬, 취약한 버전을 사용하는 서비스/데몬, 부적절한 파일 권한 등의
취약점을 점검
② 홈페이지 모의해킹, 내/외부망 모의해킹, DDoS 모의공격
- 모의해킹 점검 항목 사례
분류 |
수행내용 |
비고 |
웹어플리케이션 |
1. 사용자 인증 |
인가된 사용자 여부 식별에 대한 취약점 점검 |
2. 사용자 세션관리 |
유/무선 화경의 네트워크 session, 쿠키 등에 대한 취약점 점검 |
|
3. 암호화 및 전송 보안 |
중요 정보 암호화 전송에 대한 취약점 점검 |
|
4. 접근제어 및 권한 |
비정상적인 권한을 이용하여 접근할 수 있는 취약점 점검 |
|
5. 데이터 유효성 |
입력변수 유효성 점검 및 악의적인 데이터 대응 관련 취약점 점검 |
|
6. 웹 취약점 |
웹 보안영역의 전반적인 문제점으로 인하여 발생하는 취약점 점검 |
|
7. 사용자 개인정보보호 |
인가된 사용자 여부 식별에 대한 취약점 점검 |
|
8. 정보노출 |
배너 정보 Open Port 정보, 임시/백업 파일 등의 정보 획득 |
|
9. 권한획득 |
취약점 계정/비밀번호, 취약한 버전의 서비스 등을 이용한 권한 획득 |
③ 소스코드 전수검사 및 소스코드 Eye-Check
- 소스코드 취약점 점검도구를 이용하여 1차 점검 수행
- 확인된 결과물을 전문 보안컨설턴트가 재검토
3) 취약점 점검 평가 RFP 사례
ABC캐피탈_2014취약점진단_RFP.hwp'My Security Study > Keyword' 카테고리의 다른 글
| 개발보안관련 가이드, 참고자료 (0) | 2015.01.04 |
|---|---|
| 웹 취약점 진단기준 (0) | 2015.01.04 |
| 웹 모의진단 방식 (0) | 2015.01.03 |
| 운영체제, 운영체제 처리방식, 프로세스 (0) | 2014.02.02 |
| 클라이언트 가상화와 VDI (0) | 2013.07.02 |
| 망분리, 기존 네트워크 고집하지 말아야 (0) | 2013.05.27 |
| 분석 기반의 정보보안 (0) | 2013.05.13 |
| 데이터 암호화 (0) | 2013.05.03 |
| 복합적 보안위협에 따른 융합보안 발전방향 (0) | 2013.04.24 |
| APT, 왜곡된 메시지가 너무 많다 (0) | 2013.04.23 |
