모의해킹 (WAPT)178 모의해킹을 통한 정보보호 수준 점검 모의해킹은 실제로 가장 많이 사용하는 해킹 기법을 사용하여 제 3자 관점에서 기업 보안 수준을 점검하는 실질적인 보안 취약점 점검 방법이다. 또한, 모의해킹은 해커의 입장에서 보안의 홀을 찾아 기업 보안 문제점을 점검, 분석하여 대응방안을 제시함으로써 실질적인 보안사고 예방에 도움을 준다. 많은 기업에서 모의해킹을 통한 취약점 점검을 1년에 1회 또는 반기별 1회 실시하는 것을 규정화하고 있으며, 이를 통해 발견된 문제점을 해결함으로써 기업 보안 수준을 향상시키고 있다. 이번 호에서는 한 제조업 분야 A기업의 모의해킹 프로젝트 사례를 통해 모의해킹의 목적, 절차에 대한 정보를 제공함으로써 기업의 객관적인 보안정도를 측정할 수 있는 방법을 제시하고자 한다. [정보보호21 기고문] 전익수/jis@cocomu.. 2009. 2. 26. 웹 어플리케이션 취약점 스캐너 1. 1세대 스캐너 - nikto(perl)기반 *.nix 계열에서 사용 - n_stealth (http://nstalker.com/) 22,000개의 웹 취약점 db 이용하여 웹스캔 2. 2세대 스캐너(상용)-sql_injection - Absinthe(http://www.0x90.org) -*.nix계열 sql_injection가능 - Data thief(http://www.appsecine.com - wposion(http://sourceforge.net/project/wposion) - unix기반 ;open source group에서 만든 툴 sql injection 가능.... 3. 2.5세대 스캐너(상용) web application 모든보안테스트 가능 - appscan(http://www... 2009. 2. 9. OWASP(Open Web Application Security Project) 10대 취약점 아래는 2004년 자료임. 취약점 환경 설정과 부주의, 취약한 소프트웨어로 인하여 WWW 연결을 통해 보안상 심각한 문제가 유발될 수 있다 . www 서비스는 공개적으로 서비스를 제공하는 형태로 설계되었으며, 일반적으로 주요한 내부 자원을 외부에 제공하는 기능을 하도록 설계되었다. 따라서 이전의 외부로 부터의 접근통제가 가능하였던 보안솔루션에 의해 공격자를 막는 것은 사실상 불가능 하다. OWASP(open web application security project) 10대 취약점을 요약하면 다음과 같다. 1. 검증되지 않은 파라미터의 허용 (Unvalidated Parameters) 웹 요청 정보가 웹 애플리케이션에 의해 처리되기 이전에 그 요청이 적절한 값인지 여부를 검증하지 않음으로 인해 허가되지 .. 2008. 12. 31. 이전 1 ··· 33 34 35 36 다음 728x90
