웹/웹 보안

웹 모의진단 [웹 모의해킹 및 시큐어코딩 진단가이드]

비니화이팅 2017. 12. 6. 14:35

* 웹 모의진단(=웹 모의해킹)

- 3가지 방식으로 접근하여 다양한 취약점을 점검


1. 툴 진단

- 자동화된 취약점 진단 도구를 이용한 방법

- 웹 스캐너라는 툴을 이용

- 웹 스캐너는 아래의 2가지 기능을 통해 자동적으로 취약점을 분석

URL 수집

- 사전 정의된 태그정보를 통해 사이트 구조를 수집

- 사이트의 디렉토리 및 페이지 구조를 파악

취약점 분석 

- URL 수집을 통해 확인된 디렉토리 및 페이지에 사전 정의된 패턴을 전송하여 취약점을 판단 


2. 모의 진단

- 사이트의 메뉴를 추적하면서 로그인 페이지, 게시판 등에서 발생될 수 있는 취약점을 확인하는 방법

- 툴 진단에 확인된 취약점을 검증하거나 분석이 불가능한 부분을 점검하는 과정


3. 소스진단

- 소스코드를 분석하여 취약점이 발생가능한 위치를 확인하는 기법

- 상용 툴을 통해 확인된 결과를 점검자가 검증하여 정상적인 탐지 혹은 비정상적인 탐지를 분류하는 작업을 수행


-> 진단 방법의 장단점 비교

점검 방법 

장점 

단점 

웹 스캐너 

육안으로 검증가능한 취약점을 제공 

구조 분석이 되지 않는 링크등은 탐지 불가 미 오탐 등으로 인해 재검증이 요구 

모의진단 

웹 스캐너에서 탐지하지 못하는 부분을 상세하게 진단 

점검자의 기술적인 수준에 따라 탐지편차가 있음 

소스 진단 

웹 스캐너 및 모의진단에 비해 광범위한 취약점 탐지범위를 제공 

오탐 등으로 인해 점검자의 재검증이 요구