KISA 에서 2007년에 발행한 문서 입니다.

CERT쪽을 생각하고 계신분은 한번쯤 읽어보셔도 좋을 듯 합니다 ^^


'[+] Security > [-] ETC' 카테고리의 다른 글

엄청 쉬운 문제.  (7) 2009.10.27
BackTrack4 대략적인 모습.  (2) 2009.02.19
CERT Guide  (0) 2009.02.19
CERT Study를 해보자~  (2) 2009.02.19
APP Scan 소개  (2) 2009.02.10
이러한 사이트가 있을줄은 몰랐네요.

Carnegie Mellon 대학에서 CERT 강의를 하고 있네요 !!

뭐 저도 검색을 통해서 습득한...

https://www.vte.cert.org/vteweb/Library/Library.aspx

밑에 빨간 박스 보이시죠?

그곳을 누르시면 대학 교수님이 강의를 해주신답니다.


모두 열공하세요 ^^



'[+] Security > [-] ETC' 카테고리의 다른 글

엄청 쉬운 문제.  (7) 2009.10.27
BackTrack4 대략적인 모습.  (2) 2009.02.19
CERT Guide  (0) 2009.02.19
CERT Study를 해보자~  (2) 2009.02.19
APP Scan 소개  (2) 2009.02.10
  1. Favicon of http://lsleez.tistory.com BlogIcon 동건이 2009.02.19 09:05

    헛, UI가 한글이네요.. ㅋ



어플리케이션 보안은 어플리케이션 개발 주기에서 핵심적인 요소이며, 가트너의 조사결과에 의하면 2008년도에 이르면 어플리케이션 보안은 가장 중요한 평가 항목이고 시스템 성능과 비교될 만큼 중요성이 높아지게 될 것입니다. 소프트웨어 개발 주기 안에 보안적인 요소를 통합하고자 하는 기업은 발표하는 소프트웨어 또는 외부와 접하는 웹 어플리케이션에서 발견되는 치명적인 취약점 중 80%정도의 감소를 경험하게 될 것 입니다.



Automating Web Application Security Management
- 안전성 테스트의 자동화, 적용 이전에 안전성 보증 테스트
- 분야 최초, 선도적인 웹 어플리케이션 보안 테스트 도구
- 포괄적인 수정업무를 제공하는 유일한 도구
- 뛰어난 스캔성능, Zero-Day 취약점 업데이트, 설정 마법사 및 상세 리포트 시스템
- 생산성 향상, 보안 규약의 용이성, 웹 인프라 보호




Application Testing Throrughout the Development Lifecycle
- 개발주기에 따른 웹 어플리케이션 보안과 규정을 준수 가능
- 가트너 그룹과 IDC - 전세계 최고의 시장점유제품
- 모든 종류의 웹 어플리케이션에 대한 보안 검사
- 취약점들과 규정관련 보고에 대한 지속적인 감사
- 모든 관련 사용자를 위한 해결책 제공
- 개발도구, QA도구와의 완전한 통합
- 개발 과정에 대한 간소화된 보안 검사를 통한 신뢰성 유지
- 기반시설 내에서 웹 어플리케이션을 점검하고, 보안 문제를 검사
- 적용 가능한 보고서와 수정 권고안을 제공

AppScan Overview
* 가장 광범위한 어플리케이션 점검 영역
/ 웹 어플리케이션에서 보안 취약점을 찾도록 자동화된점검
/ 업계에서 가장 빠르고 가장 포괄적인 특허 받은 점검 엔진
/ 복잡한 로그인 폼과 다른 기술에 대한 점검
- 자바스크립트, 플래시
/ 통합된 웹 서비스 점검: 어플리케이션 간의 상호작용을 모의로 구성, 점검 수행

* 보안 취약점 식별
/ 해커의 공격을 모의 구성하여 보안취약점 탐지
- XSS, HTTP Response Splitting, Parameter Tampering, Hidden Field Manipulation;
- Backdoors/Debug Option, Stealth Commanding, Forceful Browsing, Application, Buffer Overflow, Cookie Positioning;
- Third-Party Misconfiguration, HTTP Attacks, SQL injection, Suspicious Content, XML/SOAP Tests, Content Spoofing, LDAP Injection, XPath Injection, Session Fixation 등
/ OWASP(Open Web Application Security Project)의 10대 항목 및 SANS의 상위 20 취약점

* 업계에서 가장 광범위한 규제요구이행 해법
/ 자동화된 규제/요구이행 관리 보고기능:
California Assembly Bill No. 1950, Children's Online Privacy Protection Act (COPPA);
Director of Central Intelligence DCID 6/3; electronic Fund and Transfer Act (EFTA);
Exchange and Securities Act; Federal Information Security Management Act (FISMA);
Gramm-Leach-Bliley (GLBA); Health Insurance Portability & Accountability Act (HIPAA);
MasterCard® Site Data Protection Program (MasterCard SDDP);
NERC CIPC Security Guidelines for the Electricity Sector;
Payment Card Industry (PCI) Standards; Privacy Act of 1974;
Sarbanes-Oxley; Title 21Code of Federal Regulations;
Visa® Cardholder Information Security Program (CISP)
/ PCI Data Security Standard, ISO 17799, ISO 27001 표준 등 34개의 규정이행 보고서

* 생산성 향상을 위한 수정권고안
/ 어플리케이션의 모든 단계에 걸친 수정 권고 작업에 적용가능하고 우선순위를 제공할 수 있는 첫 번째이자 유일한 웹 어플리케이션 보안 검사 도구
/ 문제점과 일반적인 수정 기술에 대한 지침을 제공하여 사용자 생산성을 개선

* 모의 침입 테스트 시도를 위한 진보된 검사 도구들
/ 자동화되고 효과적인 새로운 경향의 진보된 검사 도구를 포함
/ Token Analyzer:웹 어플리케이션 세션 토큰을 위한 다양한 검사를 제공
/ Authentication Tester:적절하지 못한 사용자이름-패스워드 조합을 검출하는 brute-force-like 검사도구

* 유용성 및 생산성을 위한 기능
/ User Interface
- 사용이 용이한 다양한 인터페이스
/ Report False Positive
- 오탐지에 대한 빠른 피드백 시스템
/ Remediation View
- 수정을 위한 포괄적인 리스트
/ Configuration Wizard
- 알아보기 쉽게 환경 설정 요소를 제공하는 스캔 마법사
/ Real-time View of Results
- 중요한 사항에 대해 즉각적인 대응
/ Enhanced View of Issues
- 분석 결과 화면에 대한 다양한 형식
/ Report Enhancements
- 보고서에 특별한 형식의 결과 포함
/ Screenshots in Report
- 보고서에 포함할 AppScan 자체 화면 캡쳐
/ Zero-Day Vulnerability Updates
- Zero-Day 보안업데이트
/ Case-sensitive Scanning Engine
- URL 대소문자 구분
/ Disable Concurrent Logins
- 동시다발 로그인 시도 방지
/ Logout Detection
- 정확한 스캔을 위한 정규식 설정
/ Improved "Out-of-session" Handling
- Out-of-Session 관리의 유용성
/ Watchfire® PowerTools™
- 테스트와 디버깅을 위한 자동화 효율성 제공








/ 강력한 보고서 기능
- 보고 받을 사용자에 맞게 모든 내용과 형식을 맞춤형으로 제작 가능
- 간결한 URL 기반 레포트
- 산업 표준 보고서 : OWASP, SANS, WASC 표준을 포함한 34개 규정이행 보고서 작성



출처 : http://www.kicco.com/index.html

'[+] Security > [-] ETC' 카테고리의 다른 글

엄청 쉬운 문제.  (7) 2009.10.27
BackTrack4 대략적인 모습.  (2) 2009.02.19
CERT Guide  (0) 2009.02.19
CERT Study를 해보자~  (2) 2009.02.19
APP Scan 소개  (2) 2009.02.10
  1. Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2009.02.10 15:22 신고

    복사해온 이미지들은 보이는데 왜 내가 직접 올린 이미지들은 안보이지 ㅡㅡ

    내 블로그만 이상한건가..

+ Recent posts