웹 응용 프로그램 침투 테스트 란 무엇입니까?
웹 응용 프로그램 침투 테스트는 공격 또는 악용 중에 인터넷 기반 프로그램의 작동 방식을 측정하기 위해 고안된 활동입니다. 이 테스트는 다양한 소프트웨어 프로그램을 사용하여 응용 프로그램을 검사 한 다음 실제 공격 중에 발생할 수있는 다른 작업을 수행합니다. 웹 응용 프로그램 침투 테스트는 개발 팀 또는 타사 서비스 공급자가 수행 할 수 있습니다. 외부 공급 업체를 사용하는 경우 개발 팀 또는 정보 기술 (IT) 직원에게 경영진의 테스트 알림이 표시되지 않는 경우가 있습니다. 이를 통해 웹 응용 프로그램 침투 테스트에서 다른 방법으로 눈에 띄지 않았던 결함을 발견 할 수 있으므로 소프트웨어 출시 전에 이러한 문제를 해결할 수 있습니다.
웹 응용 프로그램은 인터넷을 통해 액세스하고 실행할 수있는 소프트웨어 패키지입니다. 이러한 응용 프로그램은 많은 기능을 수행 할 수 있으며 경우에 따라 개인 정보로 간주되거나 중요한 데이터를 처리해야하는 경우도 있습니다. 공격의 피해를 피하기 위해 일반적으로 코드에서 취약점이나 쉽게 악용되는 영역을 찾기 위해 침투 테스트가 수행됩니다.
일반적인 웹 응용 프로그램 침투 테스트는 정보 수집 단계에서 시작합니다. 이 단계의 목적은 응용 프로그램에 대한 가능한 많은 정보를 결정하는 것입니다. 응용 프로그램에 요청을 보내고 스캐너 및 검색 엔진과 같은 도구를 사용하면 나중에 악용을 찾는 데 자주 사용되는 소프트웨어 버전 번호 및 오류 메시지와 같은 정보를 얻을 수 있습니다.
충분한 양의 정보가 누적 된 후 웹 응용 프로그램 침투 테스트의 다음 목표는 여러 가지 다른 공격 및 악용을 수행하는 것입니다. 경우에 따라 첫 번째 단계에서 수집 한 정보는 응용 프로그램이 취약 할 수있는 악용을 식별합니다. 명백한 취약점이 발견되지 않으면 광범위한 공격 및 악용을 시도 할 수 있습니다.
웹 응용 프로그램 침투 테스트를 통해 다양한 기술적 취약점을 찾을 수 있습니다. 이러한 테스트는 일반적으로 URL (Universal Resource Locator) 조작, 세션 하이재킹 및 SQL (Structured Query Language) 주입과 같은 메소드를 사용하여 애플리케이션에 침입하려고 시도합니다. 또한 응용 프로그램이 비정상적으로 작동 할 수있는 버퍼 오버 플로우 또는 기타 유사한 조치를 시작하려는 시도가있을 수 있습니다. 이러한 공격이나 악용으로 인해 응용 프로그램이 침투 테스터에 민감한 데이터를 공개하게되면 결함이 일반적으로 제안 된 조치 과정과 함께보고됩니다.