TOOLS
KISA whois
sysinternals whois
whosip -r 호스트이름(ip)
---------
nmap
netcat - 배너 수집, 포트스캐닝, 리버스 텔넷
httpwatch
웹사이트 모니터링 툴이며 IE 및 firefox를 지원.
각 페이지 처리시간과 Request, Header, cookie정보 제공.
개발자들이 개발 완료 후에 최종적으로 확인 용도로 사용함
shift + F2
-> 크롬에서는 사용 불가
-> paros와 유사
-> 취약점 스캐닝
cooxie
IE의 쿠키 편집 및 프록시 설정 변경이 매우 편리한 툴
Acunetix
대표적인 웹 사이트 점검 툴
-> 겁나 비쌈
-> 사이트의 취약점 스캐닝
appscan
Acunetix와 더불어 대표적인 상용 스캐너
-> 사이트의 취약점 스캐닝
absinthe
SQL Injection 취약점을 점검할 수 있는 도구
-------------
수동 분석
관리자 페이지
-> 에러메세지 노출
-> sql injection
-> brute force
-> 소스에 중요 정보 존재 유무
게시판 : 검색 입력창, editor 파일 업로드, UCC 업로드
-> 여러가지 입력창에 XSS, sql injection 시도
-> 파일 업로드
회원가입 : 우편번호, 암호찾기, 정보수정
-> 암호화 여부 -> paros, wireshark
-> 주민번호 위조 -> paros
타 기관 연동 프로그램 : 결제 및 인증 시스템
-> 상품 코드 전달 -> DB연동 전달
사내 인트라넷
-> 관리 허술
디폴트 파일 및 디렉토리
-> 백업 파일 노출
링크 끊긴 사용되지 않는 페이지 : 입사지원(웹쉘 업로드, 업로드, 파일다운로드)
-> 구글링을 통해 페이지 접근, 파일 업로드
-------------
OWASP top 10
open web application security project
국제 웹 보안 표준기구로 정기적으로 웹해킹 위협의 동향을 발표
3년마다 갱신
.75
http://192.168.0.75/board/default.htm
'Web' 카테고리의 다른 글
CSRF (0) | 2014.11.04 |
---|---|
advanced web (0) | 2014.10.30 |
googling (0) | 2014.10.28 |
session and cookie (0) | 2014.10.27 |
Web conditions and encoding types (0) | 2014.10.24 |