내가 짠 코드 얼마나 안전한가요 — 참석 후기

• 개발자를 위한 보안 취약점

> OWASP top 10–2017(국제 표준, 이전버전 OWASP top-2013, 2010)

> 마우스 우클릭 소스 다운로드 취약점? > 어떻게 막음?
- 기준이 중요함

> 취약점이라고 정의된것은 무조건 고쳐야 될 것

> 취약점은 시간이 지날수록 변함

> 2013에서 2017 순위가 변함, 없어지고 추가됨

> 2017에서 웹 REST API 같은 API 보안이 추가 되었음

• sql injection 테스트

Altoro Mutual

• sql injection 모든 input 에 대해서 체크해야됨
• cross site script
• 취약한 접근통제
  -> http://demo.testfire.net/default.aspx?content=../../../txt.txt

• OWASP 1부터 9까지 10은 infra관련, 우선순위가 중요도
• 동적분석(해커가 공격하듯이, blackbox test)
• 정적분석(white box test, 소스를 보고 분석, 개발자들에게 요청)
• 취약점 종류 : 어플리케이션, 데이터베이스, 네트워크 취약점

IBM AppScan on Cloud 시작하기

• 회사 제품 소개
• 정적분석+동적분석을 전부 할 수 있는 도구
• 가격은 건당, 프로젝트 단위당 라이센스 정책을 취하고 있음
• 언어별, 웹, mobile 등 분리하여 테스트 가능
• 웹으로 테스트할때는 많은 부하를 일으킬 수 있기 때문에 소유도메인 인증 절차를 거침