응용 프로그램 침투 평가

응용 프로그램 취약성 검색 및 치료

다음 단계:

Overview

왜 해커가 응용 프로그램의 취약성을 발견하도록 방치하고 계십니까? Foundstone이 먼저 귀사의 보안 약점을 찾아서 수정하도록 하십시오. Foundstone은 기업의 평판을 지키고 수익 손실을 방지할 수 있습니다.

국립표준기술원(NIST)에서는 오늘날 취약성 중 92%가 응용 프로그램 계층에 존재한다고 밝혔습니다. 오늘날 사용되는 거의 대부분의 주요 응용 프로그램에는 최소 하나 이상의 심각한 취약성이 존재하기 때문에 회사 평판과 고객 신뢰도 하락은 물론 판매 저하까지 야기합니다. Foundstone 응용 프로그램 침투 테스트 서비스는 응용 프로그램을 악의 있는 해커의 관점에서 분석하고 보안 허점이 공개적으로 노출되어 악용되기 전에 이를 찾아냅니다.

주요 장점

  • 해커보다 먼저 응용 프로그램의 허점을 찾아냅니다
  • 응용 프로그램이 출시되기 전에 보안 품질 보증을 수행합니다
  • 기업의 위험과 위험이 기업 및 제품에 미치는 잠재적 영향을 파악합니다
  • 당사 수동 테스트의 정확도와 효율성을 신뢰할 수 있습니다
  • 테스트 기술, 문제 및 치료에 대한 지식을 적극적으로 전달합니다

Methodology

테스트는 응용 프로그램을 구성하는 이진 실행 파일과 라이브러리의 정적 검토로부터 시작합니다. 서버 수준의 검색을 통해 알려져 있는 취약성과 일반적으로 발생하는 잘못된 구성을 검색합니다. 그런 다음 침투 평가 컨설턴트가 검색 프로세스를 수행하여 응용 프로그램에 대한 정보를 수집하고 암호, 암호화 키 또는 고객 정보 등의 기밀 정보를 노출시키는 정보 공개 취약성을 검색합니다. 이러한 데이터를 기준으로 Foundstone은 다음으로 구성된 다양한 테스트를 수행합니다.

  • 구성 파일에 있는 민감한 정보 검색과 같은 구성 관리 테스트. 또한 응용 프로그램 이진 파일이나 메모리에 저장되어 있는 기밀 및 텍스트 문자열과 응용 프로그램 동작 변경에 악용될 수 있는 환경 정보도 찾아냅니다.
  • 민감한 정보가 네트워크 전반에서 전달되거나 디스크 또는 데이터베이스에 저장되는 저장소 및 전송에서 데이터 보호 검사
  • 우회 및 권한 승격 가능성을 검사하는 인증 및 권한 부여 테스트
  • 세션 하이재킹 및 기타 유사한 공격을 찾아내는 세션 및 상태 관리 검사
  • SQL 주입과 버퍼 오버플로와 같은 문제를 탐지하는 데이터 유효성 테스트
  • 응용 프로그램을 안전하지 않은 상태로 크래시하거나 크래시 덤프 파일을 통한 정보 노출을 유발하는 오류 처리 및 예외 관리의 테스트
  • 감사 추적을 따돌리고, 허위 로그 항목을 생성하고, 로그 파일에서 민감한 정보를 찾아내고, 로깅 메커니즘을 공격 수단으로 이용하는 시도를 찾아내기 위한 감사 및 로깅 검사

이러한 모든 테스트에서 기본적인 목표는 응용 프로그램의 서버, 원격 에이전트 및 클라이언트를 침해하는 것입니다. 또한 Foundstone은 공격자가 기본 운영 체제 또는 백엔드 데이터베이스 서버에 접속하도록 할 수 있는 응용 프로그램 취약성을 검색합니다.