웹취약점 스캔툴소개

본문

웹취약점 스캔툴소개

 

WatchFire사의 AppScan 이라는 군요..^^

요거 해커들이 사용하면 좋지않을까요?

 

 

어플리케이션 보안은 어플리케이션 개발 주기에서 핵심적인 요소이며, 가트너의 조사결과에 의하면 2008년도에 이르면 어플리케이션 보안은 가장 중요한 평가 항목이고 시스템 성능과 비교될 만큼 중요성이 높아지게 될 것입니다. 소프트웨어 개발 주기 안에 보안적인 요소를 통합하고자 하는 기업은 발표하는 소프트웨어 또는 외부와 접하는 웹 어플리케이션에서 발견되는 치명적인 취약점 중 80%정도의 감소를 경험하게 될 것 입니다.

? 안전성 테스트의 자동화, 적용 이전에 안전성 보증 테스트 ? 분야 최초, 선도적인 웹 어플리케이션 보안 테스트 도구 ? 포괄적인 수정업무를 제공하는 유일한 도구 ? 뛰어난 스캔성능, Zero-Day 취약점 업데이트, 설정 마법사 및 상세 리포트 시스템 ? 생산성 향상, 보안 규약의 용이성, 웹 인프라 보호

? 개발주기에 따른 웹 어플리케이션 보안과 규정을 준수 가능 ? 가트너 그룹과 IDC - 전세계 최고의 시장점유제품 ? 모든 종류의 웹 어플리케이션에 대한 보안 검사 ? 취약점들과 규정관련 보고에 대한 지속적인 감사 ? 모든 관련 사용자를 위한 해결책 제공 ? 개발도구, QA도구와의 완전한 통합 ? 개발 과정에 대한 간소화된 보안 검사를 통한 신뢰성 유지 ? 기반시설 내에서 웹 어플리케이션을 점검하고, 보안 문제를 검사 ? 적용 가능한 보고서와 수정 권고안을 제공

==>관련사이트

? 웹 어플리케이션에서 보안 취약점을 찾도록 자동화된    점검   ? 업계에서 가장 빠르고 가장 포괄적인 특허 받은 점검    엔진   ? 복잡한 로그인 폼과 다른 기술에 대한 점검       - 자바스크립트, 플래시   ? 통합된 웹 서비스 점검: 어플리케이션 간의 상호작용    을 모의로 구성, 점검 수행

? 해커의 공격을 모의 구성하여 보안취약점 탐지    - XSS, HTTP Response Splitting, Parameter Tampering, Hidden Field Manipulation;    - Backdoors/Debug Option, Stealth Commanding, Forceful Browsing, Application      Buffer Overflow, Cookie Positioning;    - Third-Party Misconfiguration, HTTP Attacks, SQL injection, Suspicious Content,      XML/SOAP Tests, Content Spoofing, LDAP Injection, XPath Injection, Session      Fixation 등 ? OWASP(Open Web Application Security Project)의 10대 항목 및 SANS의 상위 20 취약점

? 자동화된 규제/요구이행 관리 보고기능:     California Assembly Bill No. 1950, Children's Online Privacy Protection Act (COPPA);     Director of Central Intelligence DCID 6/3; electronic Fund and Transfer Act (EFTA);     Exchange and Securities Act; Federal Information Security Management Act (FISMA);     Gramm-Leach-Bliley (GLBA); Health Insurance Portability & Accountability Act (HIPAA);     MasterCard?? Site Data Protection Program (MasterCard SDDP);     NERC CIPC Security Guidelines for the Electricity Sector;     Payment Card Industry (PCI) Standards; Privacy Act of 1974;     Sarbanes-Oxley; Title 21Code of Federal Regulations;     Visa?? Cardholder Information Security Program (CISP) ? PCI Data Security Standard, ISO 17799, ISO 27001 표준 등 34개의 규정이행 보고서

? 어플리케이션의 모든 단계에 걸친 수정 권고 작업에 적용가능하고 우선순위를 제공할 수 있는 첫 번째이자 유일한 웹 어플리케이션 보안 검사 도구 ? 문제점과 일반적인 수정 기술에 대한 지침을 제공하여 사용자 생산성을 개선

? 자동화되고 효과적인 새로운 경향의 진보된 검사 도구를 포함 ? Watchfire Token Analyzer: 웹 어플리케이션 세션 토큰을 위한 다양한 검사를 제공 ? Watchfire Authentication Tester: 적절하지 못한 사용자이름-패스워드 조합을 검출하는 brute-force-like 검사 도구

==>관련사이트

? User Interface   - 사용이 용이한 다양한 인터페이스 ? Report False Positive   - 오탐지에 대한 빠른 피드백 시스템 ? Remediation View   - 수정을 위한 포괄적인 리스트 ? Configuration Wizard   - 알아보기 쉽게 환경 설정 요소를    제공하는 스캔 마법사 ? Real-time View of Results   - 중요한 사항에 대해 즉각적인 대응 ? Enhanced View of Issues   - 분석 결과 화면에 대한 다양한 형식 ? Report Enhancements   - 보고서에 특별한 형식의 결과 포함 ? Screenshots in Report   - 보고서에 포함할 AppScan 자체 화면 캡쳐 ? Zero-Day Vulnerability Updates   - Zero-Day 보안업데이트 ? Case-sensitive Scanning Engine   - URL 대소문자 구분 ? Disable Concurrent Logins   - 동시다발 로그인 시도 방지 ? Logout Detection   - 정확한 스캔을 위한 정규식 설정 ? Improved "Out-of-session" Handling   - Out-of-Session 관리의 유용성 ? Watchfire?? PowerTools™   - 테스트와 디버깅을 위한 자동화 효율성 제공

? 보고 받을 사용자에 맞게 모든 내용과 형식을 맞춤형으로 제작 가능 ? 간결한 URL 기반 레포트 ? 산업 표준 보고서 : OWASP, SANS, WASC 표준을 포함한 34개 규정이행 보고서 작성

 

 

                   자료출처 : 네트워크,IT자격증,정보보안 사이트

 

 

 

보안전문가 준비에대한 철저한 계획 및 진행에 대한 상담을 드립니다
국방부 컨퍼런스 및 경찰청, 사이버수사대, 안철수랩 보안교육센터
(주)해커스칼리지 해커대학
http://www.itbankac.com
02-3291-3264

 

 

 

관련자료

• 이전
  sata 하드설치 관련이요..

  작성일 2008.03.31 17:43
• 다음
  LPIC 101 햄심 요약

  작성일 2008.03.31 16:07