참고문헌 및 사이트
- 웹 모의해킹 및 시큐어코딩 진단가이드(최경철, 김태한)
1. 툴 진단
1) 특징
- 자동화된 취약점 진단도구를 이용한 방법
- "웹 스캐너" 툴 이용
2) 툴
- 현장에서는 주로 칼리 리눅스 가상 머신 만들고 칼리안에 있는 웹 스캐너 이용(1.0.9a 버전)
- 윈도우용 : OWASP Tool(프락시 써야 함)
- 상용버전 : http://w3af.org/
3) 웹 스캐너 기능
- URL 수집
사전 정의된 태그정보를 통해, 사이트 구조를 수집
사이트 디렉토리 및 페이지 구조 파악
- 취약점 분석
URL 수집을 통해 확인된 디렉토리 및 페이지에 사전 정의된 패턴을 전송하여 취약점 판단
2. 모의진단
1) 특징
- 사이트의 메뉴를 추적하면서 로그인 페이지, 게시판 등에서 발생할 수 있는 취약점을 확인
- 툴 진단에 확인된 취약점을 검증하거나 분석이 불가능한 부분을 검증
3. 소스진단
1) 특징
- 소스코드를 분석하여 취약점이 발생가능한 위치를 확인
- 상용 툴을 통해 확인 결과를 점검자가 검증
'My Security Study > Keyword' 카테고리의 다른 글
| 개발보안관련 가이드, 참고자료 (0) | 2015.01.04 |
|---|---|
| 웹 취약점 진단기준 (0) | 2015.01.04 |
| 기술적 취약점 점검 유형 (0) | 2015.01.01 |
| 운영체제, 운영체제 처리방식, 프로세스 (0) | 2014.02.02 |
| 클라이언트 가상화와 VDI (0) | 2013.07.02 |
| 망분리, 기존 네트워크 고집하지 말아야 (0) | 2013.05.27 |
| 분석 기반의 정보보안 (0) | 2013.05.13 |
| 데이터 암호화 (0) | 2013.05.03 |
| 복합적 보안위협에 따른 융합보안 발전방향 (0) | 2013.04.24 |
| APT, 왜곡된 메시지가 너무 많다 (0) | 2013.04.23 |
