1 Testing Guide 4.0 OWASP Testing Guide 4.0 release 한국어판 - @BlackFalcon 번역 : 이지혜감수 : 장경칩 BlackFalcon 공식블로그 : Speedr00t.tistory.com Project Leaders: Matteo Meucci and Andrew Muller Creative Commons (CC) Attribution Share-Alike Free version at http://www.owasp.org
2 THE ICONS BELOW REPRESENT WHAT OTHER VERSIONS ARE AVAILABLE IN PRINT FOR THIS BOOK TITLE. ALPHA: Alpha Quality book content is a working draft. Content is very rough and in development until the next level of publishing. BETA: Beta Quality book content is the next highest level. Content is still in development until the next publishing. RELEASE: Release Quality book content is the highest level of quality in a book title s lifecycle, and is a final product. YOU ARE FREE: To Share - to copy, distribute and transmit the work To Remix - to adapt the work UNDER THE FOLLOWING CONDITIONS: Attribution. You must attribute the work in the manner specified by the author or licensor (but not in any way that suggests that they endorse you or your use of the work). Share Alike. If you alter, transform, or build upon this work, you may distribute the resulting work only under the same, similar or a compatible license. ALPHA BETA RELEASE The Open Web Application Security Project (OWASP) is a worldwide free and open community focused on improving the security of application software. Our mission is to make application security visible, so that people and organizations can make informed decisions about application security risks. Every one is free to participate in OWASP and all of our materials are available under a free and open software license. The OWASP Foundation is a 501c3 not-for-profit charitable organization that ensures the ongoing availability and support for our work. OWASP(Open Web Application Security Project) 는안전한웹및어플리케이션을개발할수있도록지원하기위해미국에서 2004 년 4 월부터시작된비영리단체이며, 전세계기업, 교육기관및개인이만들어가는오픈소스어플리케이션보안프로젝트를진행하고있습니다. OWASP 는중립적, 실무적이면서도비용효과적인어플리케이션보안가이드라인을무료로제공하고있습니다. 현재보고계신 OWASP Testing Guide Release 4.0 한국어판은 BlackFaclon 팀에서번역하였습니다. OWASP 코리아챕터에서진행하는것과는별개임을알려드립니다. - 번역 : 이지혜, 감수 : 장경칩 All for one, one for all Bl@ckFALCON
0 3-4 Eoin Keary 의머리말 1 5-6 머리그림 (Frontispiece) OWASP 테스팅가이드프로젝트소개 OWASP(Open Web Application Security Project) 소개 2 7-21 머리말 OWASP 테스팅프로젝트 테스트원리 테스트기술설명 보안테스트요구사항도출 개발및테스트워크플로우의통합보안테스트 보안테스트데이터분석및보고서작성 3 22-24 OWASP 테스팅프레임워크 25-207 개요 1 단계 : 개발시작전 2 단계 : 정의와디자인을할때 3 단계 : 개발할때 4 단계 : 배포할때 5 단계 : 유지보수과운영 전형적인 SDLC 테스팅워크플로우 4 웹어플리케이션보안테스트 소개및목적 테스트체크리스트 정보수집 정보유출을위한검색엔진발견및정찰수행 (OTG-INFO-001) 웹서버정보수집 (OTG-INFO-002) 정보유출에대한웹서버메타파일리뷰 (OTG-INFO-003) 웹서버의어플리케이션목록 (OTG-INFO-004) 정보유출에대한웹페이지의견및메타데이터리뷰 (OTG-INFO-005) 어플리케이션엔트리포인트식별 (OTG-INFO-006) 어플리케이션을통한실행경로맵 (OTG-INFO-007) 어플리케이션프레임워크정보수집 (OTG-INFO-008) 어플리케이션정보수집 (OTG-INFO-009) 어플리케이션아키텍처맵 (OTG-INFO-010) 구성및배포관리테스트 네트워크 / 인프라구성테스트 (OTG-CONFIG-001) 어플리케이션플랫폼설정테스트 (OTG-CONFIG-002)
민감정보파일확장자처리테스트 (OTG-CONFIG-003) 중요정보에대한오래된파일, 백업파일및참조되지않은파일리뷰 (OTG-CONFIG-004) 인프라및어플리케이션관리자인터페이스목록 (OTG-CONFIG-005) HTTP 메소드테스트 (OTG-CONFIG-006) HTTP 엄격한전송보안테스트 (OTG-CONFIG-007) RIA 교차도메인정책테스트 (OTG-CONFIG-008) 식별관리테스트역할정의테스트 (OTG-IDENT-001) 사용자등록프로세스테스트 (OTG-IDENT-002) 계정권한설정프로세스테스트 (OTG-IDENT-003) 계정목록및추측가능한사용자계정테스트 (OTG-IDENT-004) 취약하거나사용하지않은사용자이름정책테스트 (OTG-IDENT-005) 인증 (Authentication) 테스트암호화된채널을통해전송된자격증명테스트 (OTG-AUTHN-001) 기본자격증명테스트 (OTG-AUTHN-002) 취약한잠금메커니즘테스트 (OTG-AUTHN-003) 인증스키마우회테스트 (OTG-AUTHN-004) 비밀번호찾기테스트 (OTG-AUTHN-005) 브라우저캐시취약점테스트 (OTG-AUTHN-006) 취약한비밀번호정책테스트 (OTG-AUTHN-007) 취약한보안 QA 테스트 (OTG-AUTHN-008) 취약한비밀번호변경또는재설정테스트 (OTG-AUTHN-009) 대체채널에서취약한인증테스트 (OTG-AUTHN-010) 승인 (Authorization) 테스트디렉터리리스팅 / 파일인클로드테스트 (OTG-AUTHZ-001) 권한부여스키마생략테스트 (OTG-AUTHZ-002) 권한상승테스트 (OTG-AUTHZ-003) 취약한직접객체참조테스트 (OTG-AUTHZ-004) 세션관리테스트세션관리스키마우회테스트 (OTG-SESS-001) 쿠키속성테스트 (OTG-SESS-002) 세션고정테스트 (OTG-SESS-003) 노출된세션변수테스트 (OTG-SESS-004) 크로스사이트요청변조 (CSRF) 테스트 (OTG-SESS-005) 로그아웃테스트 (OTG-SESS-006) 세션타임아웃테스트 (OTG-SESS-007) 세션퍼즐링테스트 (OTG-SESS-008) 입력유효성검사테스트 Reflected 크로스사이트테스트 (OTG-INPVAL-001) Stored 크로스사이트테스트 (OTG-INPVAL-002) HTTP Verb Tampering 테스트 (OTG-INPVAL-003) HTTP 파라미터폴루션테스트 (OTG-INPVAL-004) SQL Injection 테스트 (OTG-INPVAL-005) Oracle 테스트 MySQL 테스트 SQL Server 테스트 PostgreSQL 테스트 (OWASP BSP에서 ) MS Access 테스트
3 NoSQL injection 테스트 LDAP Injection 테스트 (OTG-INPVAL-006) ORM Injection 테스트 (OTG-INPVAL-007) XML Injection 테스트 (OTG-INPVAL-008) SSI Injection 테스트 (OTG-INPVAL-009) XPath Injection 테스트 (OTG-INPVAL-010) IMAP/SMTP Injection (OTG-INPVAL-011) Code Injection 테스트 (OTG-INPVAL-012) Local File Inclusion 테스트 Remote File Inclusion 테스트 Command Injection 테스트 (OTG-INPVAL-013) 버퍼오버플로우테스트 (OTG-INPVAL-014) 힙오버플로우테스트스택오버플로우테스트포멧스트링테스트인큐베이트취약점테스트 (OTG-INPVAL-015) HTTP Splitting/Smuggling 테스트 (OTG-INPVAL-016) 에러핸들링테스트에러코드분석 (OTG-ERR-001) Stack Traces 분석 (OTG-ERR-002) 취약한암호테스트취약한 SSL /TLS 암호테스트, 불충분한전송계층보호테스트 (OTG-CRYPST-001) Padding Oracle 테스트 (OTG-CRYPST-002) 암호화되지않은채널을통해전송된민감정보테스트 (OTG-CRYPST-003) 비즈니스로직테스트비즈니스로직데이터검증테스트 (OTG-BUSLOGIC-001) 요청을위조테스트능력 (OTG-BUSLOGIC-002) 무결성테스트 (OTG-BUSLOGIC-003) 프로세스시간테스트 (OTG-BUSLOGIC-004) 사용가능한함수시간제약테스트 (OTG-BUSLOGIC-005) 작업흐름회피테스트 (OTG-BUSLOGIC-006) 잘못사용된어플리케이션테스트방어 (OTG-BUSLOGIC-007) 허용하지않은파일유형업로드테스트 (OTG-BUSLOGIC-008) 악성파일업로드테스트 (OTG-BUSLOGIC-009) 클라이언트테스트 DOM 기반크로스사이트스크립팅 (OTG-CLIENT-001) 자바스크립트실행테스트 (OTG-CLIENT-002) HTML Injection 테스트 (OTG-CLIENT-003) 클라이언트 URL 리다이렉트테스트 (OTG-CLIENT-004) CSS Injection 테스트 (OTG-CLIENT-005) 클라이언트리소스조작테스트 (OTG-CLIENT-006) Origin 리소스쉐어교차테스트 (OTG-CLIENT-007) 크로스사이트플래시테스트 (OTG-CLIENT-008) Clickjacking 테스트 (OTG-CLIENT-009) 웹소켓테스트 (OTG-CLIENT-010) 웹메시지테스트 (OTG-CLIENT-011) 로컬스토리지테스트 (OTG-CLIENT-012)
4 208-222 5 보고서작성 부록 A: 테스트툴 블랙박스테스트툴 부록 B: 추천도서 논문 책 유용한웹사이트 부록 C: Fuzz Vectors 애매한카테고리 부록 D: 인코딩익젝션 입력인코딩 출력인코딩