Security Testing

OWASP WSTG (Web Security Testing Guide)

웹 어플리케이션 개발자에게 사이버 보안 테스트 리소스 / 가이드를 제공

 

테스팅 원칙

- There is no silver bullet (한가지 대응으로 모든 걸 해결할 수 없다)

- The SDLC is king

- Test Early and Test Often

- Test Automation

- Understand the scope of security

- Understand the subject

등..

 

Testing Techiques

Manual Inspection(매뉴얼 점검) & Reviews

- 사람, 정책 및 프로세스의 보안 영향을 테스트

- 매뉴얼 점검은 구조 설계와 같은 기술에 대한 점검 포함

- 문서 분석 / 시스템 설계자 및 소유자와 인터뷰 (피어 리뷰)

 

Threat Modeling

- 설계자들이 잠재적인 취약점에 대한 완화 전략을 개발할 수 있도록 지원, 불가피하게 발생하는 취약점에 집중할 수 있도록 하고, 시스템에서 가장 필요로 하는 부분에 대해 집중함

 

Source Code Review

- 소스 코드 보안 상 문제가 있는지 수동으로 확인, 도구로 확인할 수 없는 문제들이 있을 수 있음

- If you want to know what's really going on, go straight to the source

- 동시성문제, 트로이 목마, 백도어, 접근 제어, 암호화 등 많은 문제 해결에 도움이 됨

 

Penetration Testing (침투 테스트, 모의 해킹)

- 블랙 박스 테스팅 (소스 코드를 보지 않고 테스팅), 윤리적 해킹

- 침투 테스트 팀은 사용자인 것처럼 응용 프로그램에 액세스 가능, 테스터는 공격자처럼 행동하며 취약점을 찾고 이용하려고 시도

- Focused penetration testing -> 이전 리뷰에서 알려진 취약점이 수정되었는지 공격해보는 테스트

---

Testing Tools Resources

일반적인 웹 테스팅

- OWASP ZAP (Zed Attack Proxy)

- Burp Proxy

- HTTP Request Maker

 

특정 취약점을 위한 테스팅

- 자바스크립트 보안, DOM XSS                     : BlueClosure BC Detect

- sqlmap, automatic SQL injection tool    : Bernardo Damele A. G.

- Testing SSL                                               : O-Saft, sslyze, TestSSLServer, SSLScan

- Testing for Brute Force Attacks              : John The Ripper, HashCat

- Testing Buffer Overflow                           : Spike, Metasploit

- Linux Distribution                                      : Kali, Parrot, Samurai, Santoku

 

소스코드 분석기

- Spotbugs, Find Security Bugs, FlawFinder, pfpcs-security-audit, PMD ..

 

Accpetance testing tools

- 웹 응용프로그램의 기능을 검증하는데 사용

- HTMLUnit, Selenium

---

OWASP Resources

WSTG -v4.2

- 웹 시큐리티 테스팅 프레임워크

 

WebGoat

- 의도적으로 취약한 부분을 만들어내서 교육 환경 제공

 

OWASP AppSEC Pipeline