본문 바로가기

Security/Web32

[웹 모의해킹 및 시큐어코딩 진단가이드] HTTP프로토콜 < HTTP Request>* GET 메소드- 데이터 전송용량의 한계(IE에서는 2083자로 제한)로 인해 기본 페이지 및 그림 파일과 같은 간단한 데이터 전송에 사용- 모든 정보가 헤더에 포함형식 GET [request-uri]?query_string HTTP/1.1\r\n Host : [Hostname] 혹은 [IP] \r\n => HTTP Request헤더에 포함될 수 있는 정보들-> GET /index.jsp HTTP/1.1- 데이터 처리방식(HTTP Method), 기본 페이지, 프로토콜 버전 -> user-agent: MSIE 6.0; Windows NT 5.0User-Agent:- 사용자의 웹 브라우저 종류 및 버전 정보- 공격툴인지 아닌지 확인 가능(쉽게 조작이가능하기때문에 신뢰할만하지는 .. 2017. 12. 7.
웹 모의진단 [웹 모의해킹 및 시큐어코딩 진단가이드] * 웹 모의진단(=웹 모의해킹)- 3가지 방식으로 접근하여 다양한 취약점을 점검 1. 툴 진단- 자동화된 취약점 진단 도구를 이용한 방법- 웹 스캐너라는 툴을 이용- 웹 스캐너는 아래의 2가지 기능을 통해 자동적으로 취약점을 분석URL 수집 - 사전 정의된 태그정보를 통해 사이트 구조를 수집- 사이트의 디렉토리 및 페이지 구조를 파악 취약점 분석 - URL 수집을 통해 확인된 디렉토리 및 페이지에 사전 정의된 패턴을 전송하여 취약점을 판단 2. 모의 진단- 사이트의 메뉴를 추적하면서 로그인 페이지, 게시판 등에서 발생될 수 있는 취약점을 확인하는 방법- 툴 진단에 확인된 취약점을 검증하거나 분석이 불가능한 부분을 점검하는 과정 3. 소스진단- 소스코드를 분석하여 취약점이 발생가능한 위치를 확인하는 기법-.. 2017. 12. 6.