반응형
제목: 버그 배틀 우승자의 보안 테스팅 조언(Security Testing Tips From a Bug Battle Winner)
저자: Bernard Lelchuk, Matt Johnston
문서유형: 웹 문서, 2009년
출처: http://blog.utest.com/2009/05/14/security-testing-tips-from-a-bug-battle-winner/
보안 테스팅의 기본을 간략히 소개한 블로그 글
보안 테스팅의 기본 개념
보안 테스팅이 광범위한 용어이기는 하지만 아래 6개의 기본 개념으로 나뉠 수 있다.
- 가용성(Availability): 정보 서비스와 통신 서비스가 필요 시 인가된 사람에게 가용하고 유지 보수됨을 보장
- 인증(Authentication): 모든 종류의 발신자/전송/메시지의 유효성(validity)을 보장. 또한 정보가 알려지고 확인된 소스에 의해 수신된다는 확신을 줌
- 허가(Authorization): 개인이 어떤 시스템/서비스/오퍼레이션에 접근하는 것을 허용 또는 거부할 수 있음을 보장(예, 액세스 콘트롤)
- 비밀성(Confidentiality): 접근 권한을 가진 사람만이 정보에 접근할 수 있으며, 의도된 수령인 외에는 정보 공개가 방지됨을 보장. 종종 알고리즘을 사용해 정보를 암호화함으로써 보장됨
- 무결성(Integrity): 수신된 정보가 달라짐 없이 성공적으로 보존되는 것을 보장
- 부인방지(Non-repudiation): 액션/통신이 나중에 부인될 수 없음을 보장(대개 인증과 타임 스템핑의 형태로 이루어짐)
보안 테스팅 방법(Security Testing Methods)
아래 3가지 타입의 테스팅 방법이 존재하며 다양한 공격들이 이에 관련된다.
1. 정보 수집 공격(Information gathering attacks)
- 클라이언트 측 소스 코드 분석(Client-side source code analysis)
- 애플리케이션 정찰(Application reconnaissance)
- 에러 메시지 분석(Error messages analysis)
- 디렉토리 탐색(Directory traversal)
2. 논리적 공격(Logical Attacks)
- 쿠키 중독(Cookie poisoning)
- 패러미터 부당 변경(Parameter tampering)
- 흐름 우회(Flow bypassing)
- 컴포넌트 파일의 직접 접근(Direct access of components files)
- 세션 강탈(Session hijacking)
- 침투 테스팅(Penetration testing)
- 버퍼 오버플로우(Buffer overflow)
3. 삽입 공격(Injection Attacks)
- SQL 삽입
- 크로스 사이트 스트립팅(XSS)
- 스크립트 삽입
반응형
'테스팅타입별 > 보안(Security)' 카테고리의 다른 글
| 책 발췌 – 보안 테스팅 by Everett and McLeod (1) | 2024.02.26 |
|---|---|
| 책 요약정리 – 웹 보안 우려사항 by Nguyen (0) | 2021.05.17 |
| 문서요약 - 웹 애플리케이션 보안 문제의 이해 by Rational Software (0) | 2019.02.04 |
| 페이퍼요약 - 소프트웨어 보안 테스팅 by POTTER (0) | 2019.01.28 |
| 문서요약 - 웹 애플리케이션의 보안 테스팅을 위한 접근방식 by Singh (0) | 2019.01.21 |