참고문헌 및 사이트

- 웹 모의해킹 및 시큐어코딩 진단가이드(최경철, 김태한)



1. 툴 진단

1) 특징

- 자동화된 취약점 진단도구를 이용한 방법

- "웹 스캐너" 툴 이용


2) 툴

- 현장에서는 주로 칼리 리눅스 가상 머신 만들고 칼리안에 있는 웹 스캐너 이용(1.0.9a 버전)

- 윈도우용 : OWASP Tool(프락시 써야 함)

- 상용버전 : http://w3af.org/


3) 웹 스캐너 기능

- URL 수집

사전 정의된 태그정보를 통해, 사이트 구조를 수집

사이트 디렉토리 및 페이지 구조 파악


- 취약점 분석

URL 수집을 통해 확인된 디렉토리 및 페이지에 사전 정의된 패턴을 전송하여 취약점 판단


2. 모의진단

1) 특징

- 사이트의 메뉴를 추적하면서 로그인 페이지, 게시판 등에서 발생할 수 있는 취약점을 확인

- 툴 진단에 확인된 취약점을 검증하거나 분석이 불가능한 부분을 검증


3. 소스진단

1) 특징

- 소스코드를 분석하여 취약점이 발생가능한 위치를 확인

- 상용 툴을 통해 확인 결과를 점검자가 검증

Posted by i kiss you
,