문서11.2.4. 애플리케이션 평가
대부분의 평가는 범위가 넓지만 애플리케이션 평가는 단일 애플리케이션에만 집중적으로 초점을 맞추는 전문 분야입니다. 이러한 종류의 평가는 조직에서 사용하는 업무상 중요한 응용 프로그램의 복잡성으로 인해 점점 더 보편화되고 있으며 그 중 다수는 내부에 구축되어 있습니다. 필요에 따라 일반적으로 응용 프로그램 평가가 더 광범위한 평가에 추가됩니다. 이러한 방식으로 평가될 수 있는 지원서에는 다음이 포함되지만 이에 국한되지는 않습니다.
• 웹 애플리케이션: 가장 일반적인 외부 공격 표면인 웹 애플리케이션은 액세스가 가능하다는 이유만으로 훌륭한 표적이 됩니다. 표준 평가를 통해 웹 애플리케이션의 기본적인 문제를 발견하는 경우가 많지만, 애플리케이션의 작업 흐름과 관련된 문제를 식별하는 데는 보다 집중적인 검토가 더 가치 있는 경우가 많습니다. 그만큼 칼리리눅스웹 메타패키지에는 이러한 평가에 도움이 되는 다양한 도구가 있습니다.
• 컴파일된 데스크톱 애플리케이션: 서버 소프트웨어가 유일한 대상은 아닙니다. 데스크톱 애플리케이션도 훌륭한 공격 표면을 구성합니다. 지난 몇 년 동안 다음과 같은 많은 데스크톱 응용 프로그램이
21http://docs.kali.org/kali-dojo/02-mastering-live-build 22https://www.offensive-security.com/kali-linux/kali-rolling-iso-of-doom/ 23http://docs.kali.org/development/live-build-a-custom-kali-iso 24https://www.offensive-security.com/kali-linux/kali-linux-recipes/
PDF 리더나 웹 기반 비디오 프로그램은 고도로 타겟팅되어 성숙해졌습니다. 그러나 적절하게 검토하면 취약점이 많은 데스크톱 애플리케이션이 여전히 많이 있습니다.
• 모바일 애플리케이션: 모바일 장치가 대중화됨에 따라 모바일 애플리케이션은 많은 평가에서 훨씬 더 표준적인 공격 표면이 될 것입니다. 이는 빠르게 변화하는 목표이며 이 분야의 방법론은 여전히 성숙해지고 있어 거의 매주 새로운 개발이 이루어지고 있습니다. 모바일 애플리케이션 분석과 관련된 도구는 다음에서 찾을 수 있습니다. 리버스 엔지니어링 메뉴 카테고리.
응용 프로그램 평가는 다양한 방법으로 수행될 수 있습니다. 간단한 예로 잠재적인 문제를 식별하기 위해 애플리케이션에 대해 애플리케이션별 자동화 도구를 실행할 수 있습니다. 이러한 도구는 알려진 서명 집합에 의존하기보다는 알려지지 않은 문제를 식별하기 위해 응용 프로그램별 논리를 사용합니다. 이러한 도구에는 애플리케이션의 동작을 기본적으로 이해하는 기능이 있어야 합니다. 이에 대한 일반적인 예는 Burp Suite와 같은 웹 애플리케이션 취약성 스캐너입니다.25, 먼저 다양한 입력 필드를 식별한 다음 이러한 필드에 일반적인 SQL 주입 공격을 보내는 동시에 공격 성공 여부에 대한 애플리케이션의 응답을 모니터링하는 애플리케이션을 대상으로 합니다.
보다 복잡한 시나리오에서는 응용 프로그램 평가를 다음 중 하나에서 대화형으로 수행할 수 있습니다.
블랙박스 또는 화이트박스 방식.
• 블랙박스 평가: 도구(또는 평가자)는 표준 사용자 이상의 특별한 지식이나 액세스 없이 애플리케이션과 상호 작용합니다. 예를 들어, 웹 애플리케이션의 경우 평가자는 시스템에 로그인하지 않은 사용자가 사용할 수 있는 기능에만 액세스할 수 있습니다. 사용되는 모든 사용자 계정은 일반 사용자가 계정을 자체 등록할 수 있는 계정입니다. 이렇게 하면 관리자가 만들어야 하는 사용자에게만 제공되는 기능을 공격자가 검토할 수 없게 됩니다.
• 화이트박스 평가: 도구(또는 평가자)는 소스 코드에 대한 전체 액세스 권한, 애플리케이션을 실행하는 플랫폼에 대한 관리 액세스 권한 등을 갖는 경우가 많습니다. 이를 통해 해당 기능이 애플리케이션의 어디에 있는지에 관계없이 모든 애플리케이션 기능에 대한 완전하고 포괄적인 검토가 완료됩니다. 이에 대한 트레이드 오프는 평가가 결코 실제 악의적인 활동을 시뮬레이션하는 것이 아니라는 것입니다.
그 사이에는 분명히 회색 음영이 있습니다. 일반적으로 결정적인 요소는 평가의 목표입니다. 애플리케이션이 집중적인 외부 공격을 받을 경우 어떤 일이 발생할지 식별하는 것이 목표라면 블랙박스 평가가 가장 좋습니다. 상대적으로 짧은 시간 내에 최대한 많은 보안 문제를 식별하고 제거하는 것이 목표라면 화이트박스 접근 방식이 더 효율적일 수 있습니다.
25https://portswigger.net/burp/
다른 경우에는 평가자가 애플리케이션을 실행하는 플랫폼의 애플리케이션 소스 코드에 대한 전체 액세스 권한이 없지만 가능한 한 많은 애플리케이션 기능에 액세스할 수 있도록 관리자가 사용자 계정을 프로비저닝하는 하이브리드 접근 방식을 취할 수 있습니다.
Kali는 모든 방식의 애플리케이션 평가에 이상적인 플랫폼입니다. 기본 설치에서는 다양한 응용 프로그램별 스캐너를 사용할 수 있습니다. 고급 평가를 위해 다양한 도구, 소스 편집기 및 스크립팅 환경이 존재합니다. 웹 애플리케이션을 찾을 수 있습니다.26 및 리버스 엔지니어링27 Kali 도구 섹션28 도움이 되는 웹사이트.