Application security: 역방향 사고

Source: Dev.to

왜 역방향으로 생각해야 할까?

개발자들은 종종 마이크로서비스를 보호하기 위해 어떤 라이브러리나 도구를 사용할 수 있을지에만 집중합니다. 현대의 도구들은 강력하지만, 반대편에서 한 번도 살펴보지 않았다면 모든 문이 잠겼는지 확신할 수 없습니다.

애플리케이션을 진정으로 보호하려면 먼저 어떻게 공격당할 수 있는지를 배워야 합니다. 윤리적 해커처럼 사고하는 것은 다음을 이해하는 데 도움이 됩니다:

• 애플리케이션을 어떻게 침입할 수 있을까?
• 민감한 데이터가 어디서 유출될 수 있을까?
• 어떤 약점이 악용될 수 있을까?
• 공격자들이 작은 문제들을 어떻게 연결해 실제 위협으로 만들까?

OWASP Top 10

OWASP 커뮤니티가 여기서 큰 역할을 합니다. OWASP Top 10 취약점 목록은 가장 흔한 취약점에 대한 명확한 설명, 테스트 방법, 그리고 가장 중요한 완화 방안을 제공합니다.

안전한 환경에서 연습하기

이론만으로는 충분하지 않습니다. 안전한 환경에서 윤리적 해킹을 연습하고 실제 시나리오에서 취약점이 어떻게 동작하는지 이해할 수 있는 훌륭한 플랫폼이 있습니다. 제가 가장 좋아하는 곳 중 하나는 PortSwigger Academy입니다. 특정 취약점을 선택하고 단계별로 악용한 뒤, 이를 자신의 애플리케이션에 적용해 볼 수 있습니다.

PortSwigger Academy –

PortSwigger는 또한 Burp Suite DAST(동적 애플리케이션 보안 테스트) 도구를 개발했습니다. Burp Suite는 웹 애플리케이션 침투 테스트에 사용되는 도구 모음입니다.

주요 목표

• 공격이 발생하기 전에 방지
• 사용자 보호
• 우리와 사용자가 문이 잠겼다는 안심 속에 충분히 쉴 수 있게 함

SAST와 DAST 결합

SAST와 DAST 도구를 결합하면 소스 코드와 실행 중인 애플리케이션 모두에서 취약점을 식별함으로써 보다 포괄적인 보안 태세를 제공하고, 조기 탐지, 향상된 커버리지, 그리고 운영 환경에서의 위험 감소를 가능하게 합니다.