¿ì¸®´Â ¸ÅÀÏ À¥»çÀÌÆ®¿¡ Á¢¼ÓÇؼ ´º½º¿Í µ¿¿µ»óÀ» º¸°í Á¤º¸¸¦ °Ë»öÇÕ´Ï´Ù. ÃÖ±Ù ¹ß´ÞÇÑ Å¬¶ó¿ìµå·Î Áß¿äÇÑ ÆÄÀÏÀ» À¥À» ÅëÇØ ÀúÀåÇϱ⵵ ÇÕ´Ï´Ù. ¸ð¹ÙÀÏ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ¼¹ö´Â À¥À¸·Î ±¸ÇöµÇ¾î ÀÖ°í, ÀÏ¹Ý °¡Á¤¿¡¼ »ç¿ëÇÏ´Â °øÀ¯±â¿Í Ä«¸Þ¶ó, °¢Á¾ »ç¹° ÀÎÅÍ³Ý ±â±âµéÀÇ °ü¸® ÀÎÅÍÆäÀ̽º ¿ª½Ã À¥À¸·Î µÇ¾î ÀÖ½À´Ï´Ù. ÀÌ·¯ÇÑ ÀÌÀ¯·Î À¥Àº °ø°ÝÀÚ°¡ ³»ºÎ·Î ħÅõÇϱâ À§ÇÑ ÃÖÃÊ °ü¹®ÀÌ µÇ´Â °æ¿ì°¡ ¸¹½À´Ï´Ù. ±×·¸±â¿¡ À¥ º¸¾ÈÀº ¾ÆÁÖ Áß¿äÇÏ°í, ¾ÕÀ¸·Îµµ ´õ¿í Áß¿äÇØÁú ºÐ¾ßÀÔ´Ï´Ù.
À¥ º¸¾ÈÀ» À§ÇÑ °¡Àå ÁÁÀº ¹æ¹ýÀº À¥ °ø°ÝÀÌ ½ÇÁ¦·Î ¾î¶»°Ô ÀÌ·ç¾îÁö´ÂÁö ¾Ë°í ´ëÀÀÇÏ´Â °ÍÀÔ´Ï´Ù.
µû¶ó¼ ÀÌ Ã¥¿¡¼´Â Àü¹®ÀûÀÎ º¸¾È Áö½ÄÀÌ ¾ø´Â µ¶ÀÚ¶ó ÇÏ´õ¶óµµ ´©±¸³ª ÇнÀÇÏ°í ½Ç½ÀÇÔ¿¡ ¾î·Á¿òÀÌ ¾øµµ·Ï ÃÖ´ëÇÑ ½±°Ô ¼³¸íÇÏ°í ½Ç½À °úÁ¤À» ÀÚ¼¼È÷ ±â¼úÇÏ¿´½À´Ï´Ù. ÀÌ¿Í ´õºÒ¾î ÀúÀÚÀÇ ½Ç¹« °æÇèÀ» Åä´ë·Î ÇÑ ´Ù¾çÇÑ À¥ ¸ðÀÇ ÇØÅ· ÆÁÀ» ¼ö·ÏÇÏ¿´½À´Ï´Ù. ÀÌ Ã¥ÀÌ À¥ °ü·Ã °¢Á¾ ½Ç¹«¿¡¼ ´©±¸³ª Ç×»ó ¿·¿¡ µÎ°í Âü°íÇÒ ¼ö ÀÖ´Â À¥ º¸¾È °¡À̵尡 µÇ±æ ¹Ù¶ø´Ï´Ù.
ÀÌ Ã¥ÀÇ Æ¯Â¡
- Á¤º¸ ¼öÁý ´Ü°èºÎÅÍ Ä§Åõ±îÁö °¢Á¾ À¥ ¸ðÀÇ ÇØÅ· ±â¹ý ¿Ïº® ½Ç½À ¹× ´ëÀÀ ¹æ¾È ÇнÀ
- ÃֽŠÀ¥ º¸¾È Æ®·»µå OWASP Top 10¿¡ Æ÷ÇÔµÈ ³»¿ë ½Ç½À Æ÷ÇÔ
- À¥ ¸ðÀÇ ÇØÅ· ³ëÇÏ¿ì¿Í À¥ °³¹ß ½Ã °í·ÁÇØ¾ß ÇÒ ÇÙ½É º¸¾È ³»¿ë ¼ö·Ï
ÀÌ Ã¥ÀÌ ÇÊ¿äÇÑ µ¶ÀÚ
- À¥ ¸ðÀÇ ÇØÅ·°ú À¥ º¸¾È¿¡ ´ëÇØ ½±°í Àç¹ÌÀÖ°Ô ¹è¿ì°í ½ÍÀº µ¶ÀÚ
- Á¤º¸ º¸¾È Àü¹®°¡¸¦ Áø·Î·Î ÇÏ°í ÀÖ´Â µ¶ÀÚ
- ½ÃÅ¥¾î ÄÚµù°ú À¥ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È¿¡ ´ëÇØ °í¹ÎÇÏ´Â °³¹ßÀÚ, Å×½ºÅÍ, °ü¸®ÀÚ
1ºÎ À¥ ¸ðÀÇÇØÅ· Áغñ
1. À¥°ú HTTP ±âÃÊ
À¥ ¾ÆÅ°ÅØó
HTTP
HTTP ¿äû ¸Þ½ÃÁö
HTTP ÀÀ´ä ¸Þ½ÃÁö
2. À¥ º¸¾È
º¸¾È Ãë¾àÁ¡°ú Á¤º¸º¸¾ÈÀÇ 3¿ä¼Ò
ÇØÅ· ´Ü°è
À¥ °ø°Ý ´Ü°è
À¥ º¸¾ÈÀ» À§ÇÑ °øÅë °í·Á»çÇ×
OWASP Top 10
3. ½Ç½À ȯ°æ
½Ç½À ȯ°æ °³¿ä
¹öÃß¾ó¹Ú½º ¼³Ä¡
Ä®¸® ¸®´ª½º ¼³Ä¡
À¥ ¸ðÀÇÇØÅ· ½Ç½À¿ë °¡»ó ¸Ó½Å
4. ¹öÇÁ ½ºÀ§Æ®(Burp Suite)
HTTP ÇÁ·Ï½Ã °³¿ä
¹öÇÁ ½ºÀ§Æ® ¼³Á¤
À¥ ºê¶ó¿ìÀú ÇÁ·Ï½Ã ¼³Á¤
Æø½ÃÇÁ·Ï½Ã(FoxyProxy) ¾Öµå¿Â
HTTPS »çÀÌÆ® Á¢¼Ó ¹®Á¦
¹öÇÁ ½ºÀ§Æ®ÀÇ ±â´É
2ºÎ ¸ðÀÇÇØÅ· ½Ç½À
5. Á¤º¸ ¼öÁý
¹è³Ê¸¦ ÅëÇÑ Á¤º¸ ¼öÁý
±âº» ¼³Ä¡ ÆÄÀÏÀ» ÅëÇÑ ½Ã½ºÅÛ Á¤º¸ ¼öÁý
À¥ Ãë¾àÁ¡ ½ºÄ³´×
µð·ºÅ͸® À妽Ì
À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ¸ÅÇÎ
Á¤º¸ ¼öÁý ´ëÀÀ ¹æ¹ý
6. Ãë¾àÇÑ ÀÎÁõ °ø°Ý
ºê·çÆ® Æ÷½º °ø°Ý °³¿ä
ºê·çÆ® Æ÷½º °ø°Ý ½Ç½À
ºê·çÆ® Æ÷½º °ø°Ý ´ëÀÀ
¼¼¼ÇID ³ëÃâ »ç·Ê ¹× º¸È£ ´ëÃ¥
7. SQL ÀÎÁ§¼Ç °ø°Ý
SQL ÀÎÁ§¼Ç °ø°Ý °³¿ä
SQL ÀÎÁ§¼Ç °ø°Ý ½Ç½À
ºí¶óÀεå SQL ÀÎÁ§¼Ç °ø°Ý
sqlmap ÀÚµ¿È °ø°Ý
SQL ÀÎÁ§¼Ç °ø°Ý ´ëÀÀ
8. Ä¿¸Çµå ÀÎÁ§¼Ç °ø°Ý
Ä¿¸Çµå ÀÎÁ§¼Ç °ø°Ý °³¿ä
Ä¿¸Çµå ÀÎÁ§¼Ç °ø°Ý ½Ç½À
Ä¿¸Çµå ÀÎÁ§¼Ç °ø°Ý ´ëÀÀ
9. Å©·Î½º »çÀÌÆ® ½ºÅ©¸³Æà °ø°Ý
¸®Ç÷ºÆ¼µå Å©·Î½º »çÀÌÆ® ½ºÅ©¸³ÆÃ(Reflected XSS) °ø°Ý °³¿ä
¸®Ç÷ºÆ¼µå Å©·Î½º »çÀÌÆ® ½ºÅ©¸³ÆÃ(Reflected XSS) °ø°Ý ½Ç½À
BeEF °ø°Ý ÇÁ·¹ÀÓ¿öÅ©
½ºÅä¾îµå Å©·Î½º »çÀÌÆ® ½ºÅ©¸³ÆÃ(Stored XSS) °ø°Ý °³¿ä
½ºÅä¾îµå Å©·Î½º »çÀÌÆ® ½ºÅ©¸³ÆÃ(Stored XSS) °ø°Ý ½Ç½À
Å©·Î½º »çÀÌÆ® ½ºÅ©¸³Æà °ø°Ý ´ëÀÀ
10. Å©·Î½º »çÀÌÆ® ¿äû º¯Á¶(CSRF) °ø°Ý
CSRF °ø°Ý °³¿ä
CSRF °ø°Ý ½Ç½À
CSRF °ø°Ý ´ëÀÀ
11. ÆÄÀÏ ÀÎŬ·çÀü °ø°Ý
ÆÄÀÏ ÀÎŬ·çÀü °ø°Ý °³¿ä
ÆÄÀÏ ÀÎŬ·çÀü °ø°Ý ½Ç½À
ÆÄÀÏ ÀÎŬ·çÀü °ø°Ý ´ëÀÀ
12. ÆÄÀÏ ¾÷·Îµå °ø°Ý
ÆÄÀÏ ¾÷·Îµå °ø°Ý °³¿ä
ÆÄÀÏ ¾÷·Îµå °ø°Ý ½Ç½À
ÆÄÀÏ ¾÷·Îµå °ø°Ý ´ëÀÀ
13. ¹Î°¨ÇÑ µ¥ÀÌÅÍ ³ëÃâ
HTTP ÇÁ·ÎÅäÄÝ¿¡ ÀÇÇÑ ³ëÃâ
À¥ ½ºÅ丮Áö¸¦ ÅëÇÑ ³ëÃ⠽ǽÀ
Æò¹®À¸·Î µÈ Æнº¿öµå ³ëÃ⠽ǽÀ
Base64 ÀÎÄÚµù
¹Î°¨ÇÑ µ¥ÀÌÅÍ ³ëÃâ ´ëÀÀ ¹æ¾È
14. Á¢±Ù ÅëÁ¦ Ãë¾àÁ¡ °ø°Ý
¾ÈÀüÇÏÁö ¾ÊÀº Á÷Á¢ °´Ã¼ ÂüÁ¶(IDOR °ø°Ý)
°ü¸®ÀÚ ÆäÀÌÁö ÀÎÁõ ¿ìȸ
µð·ºÅ͸® Æ®·¡¹ö¼³ Ãë¾àÁ¡ °ø°Ý ½Ç½À
Á¢±Ù ÅëÁ¦ Ãë¾àÁ¡ °ø°Ý ´ëÀÀ ¹æ¾È
15. XXE(XML ¿ÜºÎ ¿£Æ¼Æ¼) °ø°Ý
XXE °ø°Ý °³¿ä
XXE °ø°Ý ½Ç½À
XXE °ø°Ý ´ëÀÀ
16. ¾Ë·ÁÁø Ãë¾àÁ¡À» ÀÌ¿ëÇÑ °ø°Ý
ÇÏÆ®ºí¸®µå(Heartbleed) Ãë¾àÁ¡ °ø°Ý ½Ç½À
½©¼îÅ©(shellshock) Ãë¾àÁ¡ °ø°Ý°ú ¸®¹ö½º ½© ½Ç½À
¸ÞŸ½ºÇ÷ÎÀÕÀ» È°¿ëÇÑ PHP-CGI Ãë¾àÁ¡ °ø°Ý
¾Ë·ÁÁø Ãë¾àÁ¡ °ø°Ý ´ëÀÀ
17. ÀÚ¹Ù ¿ªÁ÷·ÄÈ Ãë¾àÁ¡ °ø°Ý
ÀÚ¹Ù ¿ªÁ÷·ÄÈ Ãë¾àÁ¡ °³¿ä
ÀÚ¹Ù ¿ªÁ÷·ÄÈ Ãë¾àÁ¡ °ø°Ý ½Ç½À
ÀÚ¹Ù ¿ªÁ÷·ÄÈ Ãë¾àÁ¡ °ø°Ý ´ëÀÀ
18. ½ÇÀü ¸ðÀÇÇØÅ·
ȯ°æ ±¸¼º
ÃÖÁ¾ ½Ç½À
ÃÖÁ¾ ½Ç½À Á¤¸®
ºÎ·Ï: VM¿þ¾î¸¦ ÀÌ¿ëÇÑ ½Ç½À ȯ°æ ±¸¼º
VM¿þ¾î ¿öÅ©½ºÅ×ÀÌ¼Ç Ç÷¹ÀÌ¾î ¼³Ä¡
°¡»ó À̹ÌÁö Ãß°¡
³×Æ®¿öÅ© ¼³Á¤