Slide 1

Similar documents
Intro to Servlet, EJB, JSP, WS

TTA Journal No.157_서체변경.indd

Windows 8에서 BioStar 1 설치하기

10김묘선

[Brochure] KOR_TunA

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

서현수

PowerPoint 프레젠테이션

제목 레이아웃

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

Secure Programming Lecture1 : Introduction

PowerPoint Template

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

Analyst Briefing

Windows Live Hotmail Custom Domains Korea

Agenda 오픈소스 트렌드 전망 Red Hat Enterprise Virtualization Red Hat Enterprise Linux OpenStack Platform Open Hybrid Cloud

슬라이드 1

Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인 웹 확장 아키텍처는 높은 수준의 안정성을 보장하기 위해 복잡한 솔루션으로 구현

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

*º¹ÁöÁöµµµµÅ¥-¸Ô2Ä)

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

2016_Company Brief

[로플랫]표준상품소개서_(1.042)

Sena Device Server Serial/IP TM Version

SchoolNet튜토리얼.PDF

표준프레임워크 Nexus 및 CI 환경구축가이드 Version 3.8 Page 1

DE1-SoC Board

PowerPoint 프레젠테이션

Observational Determinism for Concurrent Program Security

목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정

Web Scraper in 30 Minutes 강철

Portal_9iAS.ppt [읽기 전용]

Cache_cny.ppt [읽기 전용]


J2EE & Web Services iSeminar


Spring Boot/JDBC JdbcTemplate/CRUD 예제

What is ScienceDirect? ScienceDirect는 세계 최대의 온라인 저널 원문 데이터베이스로 엘스비어에서 발행하는 약,00여 종의 Peer-reviewed 저널과,000여권 이상의 도서를 수록하고 있습니다. Peer review Subject 수록된

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

Microsoft Word - src.doc

국외출장복명서 - OWASP & WASC AppSec 2007 참석 IT 기반보호단 / IT 기반기획팀

HTML5가 웹 환경에 미치는 영향 고 있어 웹 플랫폼 환경과는 차이가 있다. HTML5는 기존 HTML 기반 웹 브라우저와의 호환성을 유지하면서도, 구조적인 마크업(mark-up) 및 편리한 웹 폼(web form) 기능을 제공하고, 리치웹 애플리케이 션(RIA)을

Voice Portal using Oracle 9i AS Wireless

인문사회과학기술융합학회

0. 들어가기 전

제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호

Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일

Ç¥Áö

Microsoft PowerPoint - aj-lecture1.ppt [호환 모드]

슬라이드 1

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.

<32B1B3BDC32E687770>


0125_ 워크샵 발표자료_완성.key

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

Microsoft PowerPoint - web-part03-ch20-XMLHttpRequest기본.pptx

APOGEE Insight_KR_Base_3P11

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

로거 자료실

하나님의 선한 손의 도우심 이세상에서 가장 큰 축복은 하나님이 나와 함께 하시는 것입니다. 그 이 유는 하나님이 모든 축복의 근원이시기 때문입니다. 에스라서에 보면 하나님의 선한 손의 도우심이 함께 했던 사람의 이야기 가 나와 있는데 에스라 7장은 거듭해서 그 비결을

The Pocket Guide to TCP/IP Sockets: C Version

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

Macaron Cooker Manual 1.0.key

160322_ADOP 상품 소개서_1.0

No Slide Title

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

2013년 1회 정보처리산업기사 실기.hwp

Inside Android Applications

PowerPoint 프레젠테이션

Chapter 1

*2008년1월호진짜

partprime_intro.key

chapter1,2.doc

Cloud Friendly System Architecture

단계

안전-09재출력

BEA_WebLogic.hwp

gcloud storage 사용자가이드 1 / 17

rv 브로슈어 국문

PowerPoint Presentation

Analytics > Log & Crash Search > Unity ios SDK [Deprecated] Log & Crash Unity ios SDK. TOAST SDK. Log & Crash Unity SDK Log & Crash Search. Log & Cras

I I-1 I-2 I-3 I-4 I-5 I-6 GIS II II-1 II-2 II-3 III III-1 III-2 III-3 III-4 III-5 III-6 IV GIS IV-1 IV-2 (Complement) IV-3 IV-4 V References * 2012.

혼자서일을다하는 JSP. 이젠일을 Servlet 과나눠서한다. JSP와서블릿의표현적인차이 - JSP는 <html> 내에서자바를사용할수있는수단을제공한다. - 서블릿은자바내에서 <html> 을작성할수있는수단을제공한다. - JSP나서블릿으로만웹페이지를작성하면자바와다양한코드가

제목을 입력하세요.

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

LXR 설치 및 사용법.doc

PowerPoint 프레젠테이션

12 성능모니터링 allmon Apache License v 성능모니터링 nmon GPL v3 분산되어있는시스템에대한자원상태체크, 사용현황, 성능등을수집

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

슬라이드 1

PowerPoint Template

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT END USERS. Oracle programs, including any oper

PowerPoint 프레젠테이션

MS-SQL SERVER 대비 기능

µµ¼�¸ñ·Ï-05


Transcription:

1 Testing Guide 4.0 OWASP Testing Guide 4.0 release 한국어판 - @BlackFalcon 번역 : 이지혜감수 : 장경칩 BlackFalcon 공식블로그 : Speedr00t.tistory.com Project Leaders: Matteo Meucci and Andrew Muller Creative Commons (CC) Attribution Share-Alike Free version at http://www.owasp.org

2 THE ICONS BELOW REPRESENT WHAT OTHER VERSIONS ARE AVAILABLE IN PRINT FOR THIS BOOK TITLE. ALPHA: Alpha Quality book content is a working draft. Content is very rough and in development until the next level of publishing. BETA: Beta Quality book content is the next highest level. Content is still in development until the next publishing. RELEASE: Release Quality book content is the highest level of quality in a book title s lifecycle, and is a final product. YOU ARE FREE: To Share - to copy, distribute and transmit the work To Remix - to adapt the work UNDER THE FOLLOWING CONDITIONS: Attribution. You must attribute the work in the manner specified by the author or licensor (but not in any way that suggests that they endorse you or your use of the work). Share Alike. If you alter, transform, or build upon this work, you may distribute the resulting work only under the same, similar or a compatible license. ALPHA BETA RELEASE The Open Web Application Security Project (OWASP) is a worldwide free and open community focused on improving the security of application software. Our mission is to make application security visible, so that people and organizations can make informed decisions about application security risks. Every one is free to participate in OWASP and all of our materials are available under a free and open software license. The OWASP Foundation is a 501c3 not-for-profit charitable organization that ensures the ongoing availability and support for our work. OWASP(Open Web Application Security Project) 는안전한웹및어플리케이션을개발할수있도록지원하기위해미국에서 2004 년 4 월부터시작된비영리단체이며, 전세계기업, 교육기관및개인이만들어가는오픈소스어플리케이션보안프로젝트를진행하고있습니다. OWASP 는중립적, 실무적이면서도비용효과적인어플리케이션보안가이드라인을무료로제공하고있습니다. 현재보고계신 OWASP Testing Guide Release 4.0 한국어판은 BlackFaclon 팀에서번역하였습니다. OWASP 코리아챕터에서진행하는것과는별개임을알려드립니다. - 번역 : 이지혜, 감수 : 장경칩 All for one, one for all Bl@ckFALCON

0 3-4 Eoin Keary 의머리말 1 5-6 머리그림 (Frontispiece) OWASP 테스팅가이드프로젝트소개 OWASP(Open Web Application Security Project) 소개 2 7-21 머리말 OWASP 테스팅프로젝트 테스트원리 테스트기술설명 보안테스트요구사항도출 개발및테스트워크플로우의통합보안테스트 보안테스트데이터분석및보고서작성 3 22-24 OWASP 테스팅프레임워크 25-207 개요 1 단계 : 개발시작전 2 단계 : 정의와디자인을할때 3 단계 : 개발할때 4 단계 : 배포할때 5 단계 : 유지보수과운영 전형적인 SDLC 테스팅워크플로우 4 웹어플리케이션보안테스트 소개및목적 테스트체크리스트 정보수집 정보유출을위한검색엔진발견및정찰수행 (OTG-INFO-001) 웹서버정보수집 (OTG-INFO-002) 정보유출에대한웹서버메타파일리뷰 (OTG-INFO-003) 웹서버의어플리케이션목록 (OTG-INFO-004) 정보유출에대한웹페이지의견및메타데이터리뷰 (OTG-INFO-005) 어플리케이션엔트리포인트식별 (OTG-INFO-006) 어플리케이션을통한실행경로맵 (OTG-INFO-007) 어플리케이션프레임워크정보수집 (OTG-INFO-008) 어플리케이션정보수집 (OTG-INFO-009) 어플리케이션아키텍처맵 (OTG-INFO-010) 구성및배포관리테스트 네트워크 / 인프라구성테스트 (OTG-CONFIG-001) 어플리케이션플랫폼설정테스트 (OTG-CONFIG-002)

민감정보파일확장자처리테스트 (OTG-CONFIG-003) 중요정보에대한오래된파일, 백업파일및참조되지않은파일리뷰 (OTG-CONFIG-004) 인프라및어플리케이션관리자인터페이스목록 (OTG-CONFIG-005) HTTP 메소드테스트 (OTG-CONFIG-006) HTTP 엄격한전송보안테스트 (OTG-CONFIG-007) RIA 교차도메인정책테스트 (OTG-CONFIG-008) 식별관리테스트역할정의테스트 (OTG-IDENT-001) 사용자등록프로세스테스트 (OTG-IDENT-002) 계정권한설정프로세스테스트 (OTG-IDENT-003) 계정목록및추측가능한사용자계정테스트 (OTG-IDENT-004) 취약하거나사용하지않은사용자이름정책테스트 (OTG-IDENT-005) 인증 (Authentication) 테스트암호화된채널을통해전송된자격증명테스트 (OTG-AUTHN-001) 기본자격증명테스트 (OTG-AUTHN-002) 취약한잠금메커니즘테스트 (OTG-AUTHN-003) 인증스키마우회테스트 (OTG-AUTHN-004) 비밀번호찾기테스트 (OTG-AUTHN-005) 브라우저캐시취약점테스트 (OTG-AUTHN-006) 취약한비밀번호정책테스트 (OTG-AUTHN-007) 취약한보안 QA 테스트 (OTG-AUTHN-008) 취약한비밀번호변경또는재설정테스트 (OTG-AUTHN-009) 대체채널에서취약한인증테스트 (OTG-AUTHN-010) 승인 (Authorization) 테스트디렉터리리스팅 / 파일인클로드테스트 (OTG-AUTHZ-001) 권한부여스키마생략테스트 (OTG-AUTHZ-002) 권한상승테스트 (OTG-AUTHZ-003) 취약한직접객체참조테스트 (OTG-AUTHZ-004) 세션관리테스트세션관리스키마우회테스트 (OTG-SESS-001) 쿠키속성테스트 (OTG-SESS-002) 세션고정테스트 (OTG-SESS-003) 노출된세션변수테스트 (OTG-SESS-004) 크로스사이트요청변조 (CSRF) 테스트 (OTG-SESS-005) 로그아웃테스트 (OTG-SESS-006) 세션타임아웃테스트 (OTG-SESS-007) 세션퍼즐링테스트 (OTG-SESS-008) 입력유효성검사테스트 Reflected 크로스사이트테스트 (OTG-INPVAL-001) Stored 크로스사이트테스트 (OTG-INPVAL-002) HTTP Verb Tampering 테스트 (OTG-INPVAL-003) HTTP 파라미터폴루션테스트 (OTG-INPVAL-004) SQL Injection 테스트 (OTG-INPVAL-005) Oracle 테스트 MySQL 테스트 SQL Server 테스트 PostgreSQL 테스트 (OWASP BSP에서 ) MS Access 테스트

3 NoSQL injection 테스트 LDAP Injection 테스트 (OTG-INPVAL-006) ORM Injection 테스트 (OTG-INPVAL-007) XML Injection 테스트 (OTG-INPVAL-008) SSI Injection 테스트 (OTG-INPVAL-009) XPath Injection 테스트 (OTG-INPVAL-010) IMAP/SMTP Injection (OTG-INPVAL-011) Code Injection 테스트 (OTG-INPVAL-012) Local File Inclusion 테스트 Remote File Inclusion 테스트 Command Injection 테스트 (OTG-INPVAL-013) 버퍼오버플로우테스트 (OTG-INPVAL-014) 힙오버플로우테스트스택오버플로우테스트포멧스트링테스트인큐베이트취약점테스트 (OTG-INPVAL-015) HTTP Splitting/Smuggling 테스트 (OTG-INPVAL-016) 에러핸들링테스트에러코드분석 (OTG-ERR-001) Stack Traces 분석 (OTG-ERR-002) 취약한암호테스트취약한 SSL /TLS 암호테스트, 불충분한전송계층보호테스트 (OTG-CRYPST-001) Padding Oracle 테스트 (OTG-CRYPST-002) 암호화되지않은채널을통해전송된민감정보테스트 (OTG-CRYPST-003) 비즈니스로직테스트비즈니스로직데이터검증테스트 (OTG-BUSLOGIC-001) 요청을위조테스트능력 (OTG-BUSLOGIC-002) 무결성테스트 (OTG-BUSLOGIC-003) 프로세스시간테스트 (OTG-BUSLOGIC-004) 사용가능한함수시간제약테스트 (OTG-BUSLOGIC-005) 작업흐름회피테스트 (OTG-BUSLOGIC-006) 잘못사용된어플리케이션테스트방어 (OTG-BUSLOGIC-007) 허용하지않은파일유형업로드테스트 (OTG-BUSLOGIC-008) 악성파일업로드테스트 (OTG-BUSLOGIC-009) 클라이언트테스트 DOM 기반크로스사이트스크립팅 (OTG-CLIENT-001) 자바스크립트실행테스트 (OTG-CLIENT-002) HTML Injection 테스트 (OTG-CLIENT-003) 클라이언트 URL 리다이렉트테스트 (OTG-CLIENT-004) CSS Injection 테스트 (OTG-CLIENT-005) 클라이언트리소스조작테스트 (OTG-CLIENT-006) Origin 리소스쉐어교차테스트 (OTG-CLIENT-007) 크로스사이트플래시테스트 (OTG-CLIENT-008) Clickjacking 테스트 (OTG-CLIENT-009) 웹소켓테스트 (OTG-CLIENT-010) 웹메시지테스트 (OTG-CLIENT-011) 로컬스토리지테스트 (OTG-CLIENT-012)

4 208-222 5 보고서작성 부록 A: 테스트툴 블랙박스테스트툴 부록 B: 추천도서 논문 책 유용한웹사이트 부록 C: Fuzz Vectors 애매한카테고리 부록 D: 인코딩익젝션 입력인코딩 출력인코딩