OLD/Unix 서버 취약점 점검37 웹 취약점 분석방법 Http 프로토콜의 모양 요청 헤더에 포함되는 정보들 ① 데이터 처리방식과 기본 페이지 그리고 프로토콜 버전이 포함된다. ② User-Agent 사용자의 웹 브라우저 종류 및 버전 정보가 포함된다. ex) MSIE 6.0 Windows NT 5.0 인터넷 익스플로러 6.0 사용자임을 알 수 있다. ③ Accept 웹 서버로부터 수신되는 데이터 중 웹 브라우저가 처리할 수 있는 데이터 타입을 의미한다. 여기서 text/html은 text, html 형태의 문서를 처리할수 있고, */* 모든 문서를 처리할수 있다는 의미이다. 이를 MIME타입이라고 부르기도 한다. ④ Cookie Http 프로토콜 자체가 세션을 유지하지 않는 State-less (접속상태를 유지하지 않는) 방식이기 때문에 로그인 인증을 위한.. 2017. 6. 24. 취약점 진단 수행 절차 웹 프로그램 취약점 진단을 효율적이고 확실하게 수행하는 수행 절차를 설명한다.웹 프로그램 취약점 진단에는 자동 진단 도구를 사용한 진단과 수동 진단 보조 도구를 사용한 수작업 진단 두가지 방법 모두 필요하다. 자동 진단은 도구를 사용해 자동으로 웹 프로그램 취약점 진단을 수행한다. 그렇다면 수동 진단은 필요없는 걸까? 자동진단 도구의 특징을 안다면 수동 진단도 필요하다는 것을 알수 있다. 취약점 진단 수행절차웹 프로그램 취약점 진단은 다음과 같은 절차로 진행된다. 1.. 테스트 케이스 작성- 진단 대상기록, 시나리오 작성2. 취약점 진단 실시- 자동 진단 도구를 사용한 진단, 수동 진단 보조 도구를 사용한 진단3. 진단 결과 검증- 수동 진단을 통한 결과 검증4. 보고서 작성- 진단 도구를 사용한 보고서.. 2017. 6. 23. ★진단수행사전준비 ♥ 진단 수행 준비 진단 수행 사전 준비는 취약점 진단을 위한 준비를 하는 단계로 진단을 수행하기 위해 필요한 정보등을 고객에게 받는다. 준비단계에서 어떤 정보를 주고 받는지에 대해 알아본다. 진단수행사전준비 ● 진단대상확인- 진단 대상이 되는 웹 프로그램을 선정하고 우선 순위를 책정● 수행내용설명- 진단 내용과 서비스 제공의 흐름, 진단을 할 때의 주의사항 등 진단 수행에 대한 내용을 설명● 사전 청취- 진단 실시 형태와 진단 대상 환경 등 진단에 필요한 정보를 확인● 환경 및 데이터 준비- 진단에 필요한 계정 정보나 각종 권한 등을 준비● 현장 작업 환경준비- 현장에서 진단하는 경우 진단 대상 네트워크 연결하는 방법, 작업 장소 등에 대한 준비 진단 대상 확인 진단 대상 확인은 진단 대상이 어떤 것인.. 2017. 6. 23. 취약점 점검을 위한 방법- 웹취약점 점검 툴 owasp zap의 중요기능은 다음과 같다. 동적스캔- 동적 진단도구 Forced Browse사전형 공격 기능 디렉터리나 파일명을 찾아 강제 브라우징 기능 여부를 확인스파이더 발견한 링크나 입력폼을 바탕으로 웹사이트 주소를 크롤링하는 기능Ajax 스파이더 OWASP ZAP에서 제공하는 브라우저를 실행해 웹사이트 데이터를 크롤링하고 기록하는 기능으로, 자바스크립트가 많이 사용되는 페이지에 사용Fuzzer 자동으로 매개변수 값을 넣어 서버로 요청을 보내는 기능로컬 프록시 Http 요청을 변조하거나 응답을 확인하기 위한 프록시 기능보고서 생성 동적 스캔 결과를 보고서로 생성하는 기능HttpSessions 사용 중인 세션 목록을 표시해 주거나 관리하는 기능 2017. 6. 22. 패스워드 최소길이 설정 패스워드 무차별 공격(Brute Force Attack)이나 패스워드 추측 공격(PassWord Guessing)을 피하기 위해 패스워드 최소 길이 설정이 필요하다. 보안설정리눅스의 경우 최초 cat/etc/login.defs을 통해 보안의 설정을 확인한다. 다음의 경우 최대한의 패스워드 기간은 무한대이며 최소한의 기간은 0일로 설정 패스워드 최소길이는 8자리인데 없는 부분을 임의로 채웠음 명령어 cat을 통해 변경된 것을 확인할수 있음 2017. 6. 21. 웹 취약점 점검방법 가이드라인 ■ 웹 취약점방법을 위해서는 다음과 같은 웹 프록시 툴과 도구가 필요함 https://portswigger.net/burp/ 2017. 6. 20. 이전 1 2 3 4 5 6 7 다음
