336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

TOOLS 




KISA whois 

sysinternals whois 



whosip -r 호스트이름(ip)


whosip.zip



---------




nmap 


netcat - 배너 수집, 포트스캐닝, 리버스 텔넷




httpwatch 

웹사이트 모니터링 툴이며 IE 및 firefox를 지원. 

각 페이지 처리시간과 Request, Header, cookie정보 제공.

개발자들이 개발 완료 후에 최종적으로 확인 용도로 사용함 


shift + F2


-> 크롬에서는 사용 불가 

-> paros와 유사 




intellitamper_v2.07.exe

-> 취약점 스캐닝 




cooxie 

IE의 쿠키 편집 및 프록시 설정 변경이 매우 편리한 툴




Acunetix

대표적인 웹 사이트 점검 툴

-> 겁나 비쌈 

-> 사이트의 취약점 스캐닝 





appscan

Acunetix와 더불어 대표적인 상용 스캐너

-> 사이트의 취약점 스캐닝 




absinthe

SQL Injection 취약점을 점검할 수 있는 도구 




-------------


수동 분석




관리자 페이지 

-> 에러메세지 노출

-> sql injection 

-> brute force

-> 소스에 중요 정보 존재 유무


게시판 : 검색 입력창, editor 파일 업로드, UCC 업로드

-> 여러가지 입력창에 XSS, sql injection 시도 

-> 파일 업로드 


회원가입 : 우편번호, 암호찾기, 정보수정

-> 암호화 여부 -> paros, wireshark

-> 주민번호 위조 -> paros



타 기관 연동 프로그램 : 결제 및 인증 시스템

-> 상품 코드 전달 -> DB연동 전달 



사내 인트라넷

-> 관리 허술



디폴트 파일 및 디렉토리

-> 백업 파일 노출



링크 끊긴 사용되지 않는 페이지 : 입사지원(웹쉘 업로드, 업로드, 파일다운로드)

-> 구글링을 통해 페이지 접근, 파일 업로드 





-------------


OWASP top 10

open web application security project

국제 웹 보안 표준기구로 정기적으로 웹해킹 위협의 동향을 발표


3년마다 갱신 


.75



http://192.168.0.75/board/default.htm






















'Web' 카테고리의 다른 글

CSRF  (0) 2014.11.04
advanced web  (0) 2014.10.30
googling  (0) 2014.10.28
session and cookie  (0) 2014.10.27
Web conditions and encoding types  (0) 2014.10.24
Posted by af334