실행 중인 웹 애플리케이션을 외부에서 공격자 시점으로 테스트하는 도구
즉, 실제 서비스 중인 웹사이트에 가상의 공격을 시도해서 런타임에서 발생할 수 있는 취약점들을 발견하는 방식
항목
- 분석 대상 : 실행 중인 웹 앱, 실제 서버 (동적 상태)
- 분석 방식 : 실제 앱에 요청/공격 시뮬레이션으로 취약점 탐지
- 필요 조건 : 실행 중인 서버, URL 접근 가능해야 함]
- 주요 탐지 취약점 : 런타임 취약점 (XSS, SQLi, 세션 문제, Misconfiguration)
- 장점 : 실제 운영 환경과 유사, 코드 없이도 점검 가능
- 단점 : 비즈니스 로직, 내부 코드 구조 파악 어려움
- 대표 도구 : OWASP ZAP, Burp Suite, Acunetix, Nikto