검색 본문
hagsig.tistory.com 학식 - 정보보안 전문 블로그 [AOS 취약점 진단] 13강 - 웹 취약점 점검(SSL Pinning 우회) 가. 취약점 정의 1. 웹 취약점 점검이란? - *HTTP 통신을 사용하는 경우 MITM(Man in the Middle) 공격에 의해 중요정보를 도청당해 2차 피해로 이어질 수 있다. *HTTP 통신 : Axios와 같은 웹 기반 통신 프로토콜을 사용하거나 웹뷰를 사용하는 하이브리드 앱은 웹 기반 통신을 사용한다. - 이를 방지하기 위해 암호화 통신 SSL(Secure Socket Layer)을 사용하지만 *웹 프록시 툴로 변조가 가능하다. *웹 프록시 툴 : 버프스위트(BurpSuite), 피들러(Fiddler) 등 - 웹 프록시 툴에 의한 MI 나. 취약점 대응방안 - 웹에서 발생할 수 있는 취약점을 조치한다. - SSL 피닝을 사용하여 웹 프록시 툴로 패킷을 도청하고 변조할 수 없도록 조치한다. https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=gingkosnews&logNo=222271132603&categoryNo=1&proxyReferer= Prevent bypassing of SSL certificate pinning in iOS applications_iOS 애플리케이션에서 SSL 인증서 고정 우회 방지 By: 다. 취약점 실습 1. 웹 취약점 진단 - 아래의 글을 참고하여 디바이스와 웹 프록시 툴을 연결하여 웹 취약점을 진단한다. [AOS App 취약점 진단 · 모의해킹] - 녹스(Nox) 버프슈트 프록시 연결 및 인증서 설치 방법 녹스(Nox) 버프슈트 프록시 연결 및 인증서 설치 방법 녹스와 PC의 프록시 연결 시 SSL인증서 오류가 발생한다. 이를 해결하기 위해서는 버프스위트 SSL인증서를 openssl로 변환하여 설치하는 과정이 필요하다. 매우 복잡하지만 아래의 과정을 따라하여 hagsig.tistory.com 2. SSL 피닝 우회 2.1. 점검 11 1. 웹 취약점 점검이란? - *HTTP 통신을 사용하는 경우 MITM(Man in the Middle) 공격에 의해 중요정보를 도청당해 2차 피해로 이어질 수 있다. *HTTP 통신 : Axios와 같은 웹 기반 통신 프로토콜을 사용하거나 웹뷰를 사용하는 하이브리드 앱은 웹 기반 통신을 사용한다. - 이를 방지하기 위해 암호화 통신 SSL(Secure Socket Layer)을 사용하지만 *웹 프록시 툴로 변조가 가능하다. *웹 프록시 툴 : 버프스위트(BurpSuite), 피들러(Fiddler) 등 - 웹 프록시 툴에 의한 MI 안드로이드 모의해킹 AOS 모의해킹 AOS 취약점진단 안드로이드 취약점진단 AOS 침투테스트 안드로이드 침투테스트 안드로이드 브로드캐스트리시버 취약점 안드로이드 SSL 피닝 우회 하이브리드 앱 취약점 진단 SSL 피닝 대응방법 2024.02.04 블로그 검색 더보기 [AOS 취약점 진단] 16강 - 루팅 탐지 우회 취약점 점검 relax.agptedu.com 지식업 해킹메일, 디도스 공격, 웹취약점 점검 등 사이버 위기대응 모의훈련, 한국인터넷진흥원 무료 해킹메일 해킹메일이란 사용자가 클릭할만한 제목으로 해킹메일을 발송하고, 메일을 클릭하여 열람한 현황, 첨부파일을 다운로드한 현황 등을 파악하여, 기업, 임직원의 보안수준을 점검하여, 해킹메일을 열람하거나, 다운로드 정도에 따른 개선할 점을 파악할 수 있도록 합니다. 디도스 공격 홈페이지를 대상으로 디도스 공격을 수행하여, 기업의 대응력을 점검하고, 개선할 점을 파악할 수 있도록 합니다. 다만 최대 20Gbps 의 공격이라고 하는 데, 보통은 기업의 디도스 방어능력은 한계가 있습니다. 웹취약점 점검 IPS (침입탐지장비), WAF (웹방화벽) 등의 보안장비가 웹 사이트의 알려진 취약점 공격에 대해서 얼마나 탐지하고 차단을 잘 하는지 대응체계를 점검합니다. 단 웹취약점 점검은 IPS, WAF 등의 보안장비가 있는 경우에 신청이 가능합니다. 모의침투 국제 해킹대회 입상자를 활용한 실전 모의침투 및 조치 안내 사이버 위기대응 모의훈련 해킹메일, 디도스 공격, 웹취약점 점검, 모의침투 등은 사이버 위기대응 모의훈련으로 한국인터넷진흥원 KISA 보호나라에서 신청이 가능합니다. 이러한 사이버 위기대응 모의훈련의 목적은 실전형 모의훈련으로 기업의 보안수준 점검, 취약점 보완, 임직원 인식 제고를 통한 사이버 공격의 예방 및 피해 최소화에 있습니다. 한국인터넷진흥원 KISA 보호나라 민간분양 사이버 위기대응 모의훈련 바로가기 대상 : 민간기업, 대기업, 중견, 중소기업... 2 IPS (침입탐지장비), WAF (웹방화벽) 등의 보안장비가 웹 사이트의 알려진 취약점 공격에 대해서 얼마나 탐지하고 차단을 잘 하는지 대응체계를 점검합니다. 단 웹취약점 점검은 IPS, WAF 등의 보안장비가 있는 경우에 신청이 가능합니다. 사이버 KISA 개인정보 한국인터넷진흥원 보호나라 디도스 웹취약점 위기대응 해킹메일 모의훈련 2024.05.17 peacemak.tistory.com 붉은수염의 이바구 아이씨티넷 웹 취약점 점검 서비스 - 이지스캔(AEGIScan) 출시 이지스캔 출시 (주)아이씨티넷(ICTNET)에서 ASM(Attack Surface Mangement) 솔루션을 개발하여 새롭게 출시하였다. 요즘 ASM에 관한 솔루션들이 많이 시장에 나오는 것이 사실이지만, 웹 어플리케이션을 실시간으로 매일 관리하는 것은 현실적으로 어려운 실정이다. 특히 웹사이트가 한 두 개가 아니라 수 십 개에서 수 백 개를 관리해야하는 조직이라면 이것은 현실적으로 거의 불가능하다고 생각하고 포기하고 지낸다. 일년에 한 두 번씩 주요 웹 사이트에 대해서면 취약점 점검을 하는 것이 대부분의 조치일 것이다. 아이씨티넷은 전사적인 이지스캔 특장점 이지스캔(AEGIScan)의 특성을 살펴보면 아래와 같다. 탁월한 성능 이지스캔(AEGIScan)의 주요 장점 중 하나는 시중의 다른 제품과 비교할 수 없는 독보적인 성능입니다. 취약점 스캔에 소요되는 시간을 6~7시간에서 단 10분으로 단축하여 다른 솔루션보다 훨씬 빠릅니다. 이 놀라운 속도는 PCRE(Perl 호환 정규식)를 사용하여 패턴을 정규식으로 코딩한 다음 웹 요청을 통해 전송함으로써 달성됩니다. 응답이 특정 오류 패턴과 일치하면 취약점으로 식별되어 해당 유형과 함께 반환됩니다. 이 고유한 웹 분석 기술을 통해 웹 애플리 보고서 취약점 평가가 완료되면 이지스캔은 진단 결과, 위험 수준 및 권장 보안 조치를 포함한 종합 보고서를 제공합니다. 이 실시간 보고서는 향후 보안 감사 및 평가에서 증거로 사용할 수 있습니다. 조직은 Aegiscan을 통해 보안 조치를 효과적으로 관리하고 우선순위를 지정하여 시스템과 데이터의 안전을 보장할 수 있습니다. 또한 이 시스템은 조직이 취약성 평가 결과를 이해하고 적절한 조치를 취하는 데 도움이 되는 이해하기 쉬운 가이드를 제공합니다. (주)아이씨티넷(ICTNET)에서 ASM(Attack Surface Mangement) 솔루션을 개발하여 새롭게 출시하였다. 요즘 ASM에 관한 솔루션들이 많이 시장에 나오는 것이 사실이지만, 웹 어플리케이션을 실시간으로 매일 관리하는 것은 현실적으로 어려운 실정이다. 특히 웹사이트가 한 두 개가 아니라 수 십 개에서 수 백 개를 관리해야하는 조직이라면 이것은 현실적으로 거의 불가능하다고 생각하고 포기하고 지낸다. 일년에 한 두 번씩 주요 웹 사이트에 대해서면 취약점 점검을 하는 것이 대부분의 조치일 것이다. 아이씨티넷은 전사적인 ASM 웹취약점 owasp top 10 아이씨티넷 DAST Attack Surface Management 웹취약점동적분석 이지스캔 AEGIScan 2024.02.28 quality.sansamlife.com 소프트웨어 품질의 모든것 [도구] 오픈소스 웹취약점 점검도구 - OWASP ZAP(Zed Attack Proxy) 프록시(Proxy) 설정 10 zap 공식 홈페이지(https://www.zaproxy.org/) OWASP ZAP 이라고도 하고 ZAP 이라고도 말하는것 같습니다. 웹취약점 점검 도구로 가장 많이 사용하고 있습니다. 오픈소스 입니다. https://github.com/zaproxy ZAP ZAP has 43 repositories available. Follow their code on GitHub. github.com 홈페이지에서 다운로드... Proxy Zap 프록시 설정 Zed attack Proxy OWASP ZAP 오픈소스 웹취약점 점검 도구 웹취약점 점검 2024.03.07 2022년 테스팅 사례 공유 - 000대학교 웹사이트 웹 취약점 점검 보안성 테스팅 2022년 테스팅 사례 공유 - 00대학교 웹사이트 웹 취약점 점검 테스팅 blog.naver.com ahsan030님의블로그 기술스터디 02) [IGLOO] 웹 취약점 점검 현명하게 하는 법 2 2024.03.23.(Sat) 기술스터디 02) [IGLOO] 웹 취약점 점검 현명하게 하는 법 -SWUFORCE 5기 이수연- 디지털 전환이 가속화됨에 따라 IT 자산의 보안 취약점을 노리는 사이버 공격이 증가하고 있다고 한다. 사이버 공격 중에서도 웹 취약점 공격은 잘 알려진 편이고, 나름 전통적일 수 있는 공격이지만 지금도 꾸준히... 2024.03.23 igloo.co.kr security-information 웹-취약점-점검-현명하게-하는-법 웹 취약점 점검 현명하게 하는 법 01. 보다 성공적인 웹 취약점 점검을 위하여 디지털 전환이 가속화됨에 따라 곳곳에 분산된 IT 자산의 보안 취약점을 노리는 사이버 공격이 증가하면서 능동적인 취약점 관리의 중요성은 날로 높아지고 있다. 그... 2022.11.02 웹문서 검색 더보기 웹취약점 자동점검의 이상과 현실 01. 웹취약점 자동점검의 도입이 논의되는 이유 웹취약점 점검을 수행하다보면 종종 고객으로부터 해당 업무에 대한 설명을 요청 받는 경우가 있다. 이에 자료를 준비하고 따로 자리를 마련해 업무 프로세스나... 웹 취약점 자동점검의 이상과 현실 01. 웹 취약점 자동 점검의 도입이 논의되는 이유 웹 취약점 점검을 수행하다보면 종종 고객으로부터 해당 업무에 대한 설명을 요청 받는 경우가 있다. 이에 자료를 준비하고 따로 자리를 마련해 업무 프로세스나... 통합웹 더보기
서비스 안내 스토리의 글을 대상으로 검색결과를 제공합니다. 자세히보기 jiurinie.tistory.com 웹 개발자의 발자취 무료 웹 취약점 점검 도구 Arachni 사용법(2) 12 무료 웹 취약점 점검 도구 Arachni 사용법(2) Arachni 는 Ruby 언어 기반의 무료/공개 소스 소프트웨어로 웹 취약점 자동 분석 도구이다. Linux, Mac, Windows에서 설치 가능하며 무료 웹 취약점 진단 도구 중 다른 도구에 비해 높은 수준의 성능을 보여준다고 한다. Arachni 홈페이지에 접속하면 다음과 같은 장점들을... arachni Arachni 설치 Please ensure that chromedriver and Chrome are the same version and in your PATH. Arachni 사용법 무료 웹 취약점 점검 웹 취약점 진단 도구 웹 취약점 진단 도구 오류 해결 2023.02.06 티스토리 검색 더보기 story.kakao.com IT몽상가 IT몽상가 - 카카오스토리 웹(Web) 취약점 점검 항목 2022.11.02 카카오스토리 검색 더보기 brunch.co.kr Master Seo 네이버 클라우드 7탄- 보안 서비스 8/8 후 서비스 개발 사용 <4> File Safer 게시판 업/다운 파일 악성코드 검사 문제가 있으면 업로드를 막음 <5> Web Security Checker 모의 해킹 21가지 웹 취약점 점검 네이버 클라우드 안에 있는 내 서버에만 진단 가능 실제 서비스에 하면 안 됨. 가비지 값이 들어간다. 서비스 론칭 전에 테스트 하기 바람. 데이터... 보안 IT 2022.06.10 브런치스토리 검색 더보기
정보라인 www.jbline.co.kr/ 시큐어코딩, 소스코드 보안약점, 웹 취약점 점검, 진단 컨설팅, 모의해킹. 전화고객센터: 02-786-9181 장소 한국정보컨설팅 kicco.com/ Atlassian, IBM Rational 기술지원, 교육, 형상, 변경관리, 빌드, 배포, 성능테스트 웹 취약점 점검. System Security Vulnerability ssv.skill.or.kr 신청자 작성 취약점 점검 가이드(시스템진단, 웹취약점진단, 보안장비, 네트워크장비, 제어시스템). 주요정보통신기반시설_기술적_취약점_분석_평가_방법_상세가이드, 클라우드_취약점_점검_가이드. 사이트 더보기