아임노드

실무환경에서의 주 취약점11개 정도의 취약점 존재 (공식 및 비공식 가이드 : 2개)주요통신기반시설 취약점 가이드(KISA) : 28개 ———> 10번은 정독해라홈페이지에서 다운로드 가능SQL i : SQL쿼리를 통해 정보 노출(DB)세션 재사용 : Cookie 재사용XSS(Strored, Reflected) : 스크립트를 통해 원하는 명령어 실행File Upload : 게시판 or PUT 통해 서버로 업로드File Download : 서버에 존재하는 파일을 로컬로 다운로드 or 열람정보노출 : 버전 정보 노출관리자페이지 노출인증우회 : 로그인 과정에서 우회디버깅 정보(소스) : 소스코드에 존재하는 주석 내용파라미터 조작(결제, 타인정보열람, 권한없는 게시판 글쓰기 등..)위 내용을 토대로 점검해봐야할 ..

애플리케이션 보안 강의에서 언급된 도구들이 있는데정리하자면,DAST : Burpsuite(pro), Nikto, OWASP-ZAP, AcunectixSubDomain : subfinder, dnsenumParameter : nucleiFuzzerPeq+Res Verify : curl이 도구들만 이용해도 웹 취약점 진단이 가능하다. 각 도구의 모든 기능을 이용하는 것이 아니며, 도구를 사용하는 방법과 필요한 핵심 기능에 대해서만 간략히 정리해보고자 한다. * 주의할 점은 자동화된 진단도구는 방화벽이 있는 웹사이트를 진단하다가 IP가 막힐 수 있다.따라서 진단하고자 하는 대상주소가 방화벽이 있는지 없는지 확인 후 진행하도록 한다.시작하기 전.. > 먼저 모든 도구 사용은 보안 실습과 테스트 환경을 격리하고 ..