구분

목차

내용

1일차

(9:00~18:00)

강사 : 임호진

○ 정보보안 테스트 개요

- 정보보안 목표

- ITCompliance

- 보안 테스트 필요성

○ 최근침해 사례 분석

- APT 공격

- 웹 사이트를 이용한 악성코드 배포

- 개인정보 노출 사고

○ OWASP 개발보안 방법론

- MS-SDL방법론

- 7-Touch Point

- CLASP

○ OWASP Top 10 개요

- OWASP Top 10 취약점

○ 보안 테스트 기법

- 위험기반 테스트

- 상태기반 테스트

- 테스트 시나리오 작성

○ 보안 테스트 시나리오 실습

- 웹 사이트를 기반으로 하는 시나리오 작성 실습

- 시나리오 및 테스트 케이스 도출

○ HTTP 프로토콜 구조분석 실습

- HTTP와 HTTPS 동작 방식

- HTTP 보안 취약점 도출(테스트케이스)

- 스니핑을 통한 패킷분석

- Web Proxy를 사용한 패킷변조

2일차

(9:00~18:00)

강사 : 임호진

○ 인젝션 보안 테스트 개요 및 실습

- SQL Injection

- Blind SQL Injection

- Time Base Injection

- Union Injection

○ 인증 및 세션 취약점 테스트

- 세션 하이재킹을 사용한 취약점

- 세션 하이재킹 대응방법

○ 크로스 사이트 스크립핑

- HTML 태그를 사용한 Stored XSS 및 Reflective XSS

○ 취약점 접근제어

- 파라미터 변조를 통한 접근권한 우회 테스트

- 관리자 사이트에 대한 임의적 접근 제어 테스트

- 특수권한 사용한 권한획득 테스트

○ 보안설정 오류

- 웹서버 정보노출

- CVE 취약점 확인

○ 민감 데이터 노출

- Hooking 및 변조를 통한 개인정보 노출 테스트

3일차

(9:00~18:00)

강사 : 임호진

○ 크로스 사이트 변조요청

- CSRF 테스트

○ 알려진 취약한 컴포넌트 사용

- OPENSSL 취약점

- 웹 사이트 취약점

- DB 취약점

○ 취약한 API

- C언어 취약한 함수

- JAVA언어 취약한 함수

○ OWASP 대응 위한 분석/설계 활동

- OWASP를 고려한 요구사항 분석

- 설계단계 활동

○ 최근 웹사이트 테스트 사례

- 최근 웹사이트 테스트 사례