뭔 소리인지 모를 때 보는 곳

용도 Java 보안 취약점 전용 특징 FindBugs의 보안 확장 플러그인 장점 단점

용도 정규표현식 기반 코드 패턴 검색 & 취약점 탐지 지원 Python, Java, JS, Go, Ruby, C, C#, PHP 등 장점 단점

용도 코드 품질 + 보안 (정적 분석) 지원 Java, JS, Python, C#, Kotlin, PHP 등 거의 모든 언어 장점 사용처 기업, 공공기관, 스타트업 등 폭넓음

설명 다양한 스캐너의 결과를 통합해주는 오픈소스 도구 지원 Java, C#, PHP, JavaScript 등 여러 언어 장점 한계

정의 코드를 실행하지 않고, 소스 코드 자체를 분석해서 보안 취약점, 버그, 코드 품질 문제를 찾아내는 도구 즉, 컴파일 전 또는 빌드 전에 코드의 문법, 패턴, 취약점을 “정적(Static)” 으로 탐색 동작 소스 코드를 파싱 (구문 분석) 특정 규칙/패턴에 맞춰 취약점, 버그, 코드 스멜, 보안 문제 탐색 결과 리포트 제공 (ex: SQL Injection 가능성, NullPointer, 비밀번호 하드코딩 … Read more

실행 중인 웹 애플리케이션을 외부에서 공격자 시점으로 테스트하는 도구 즉, 실제 서비스 중인 웹사이트에 가상의 공격을 시도해서 런타임에서 발생할 수 있는 취약점들을 발견하는 방식 항목

설명 디버깅 메시지, 소스 코드, 서버 정보 노출 여부 예시 X-Powered-By, 버전 정보, 주석 내 민감 정보

설명 파일 업로드 시 실행 가능한 스크립트 업로드 여부 예시 .php, .jsp 등 악성 파일 업로드 테스트

설명 서버가 외부 요청을 받아 내부 자원에 접근 가능한지 예시 file:// 또는 http://localhost 요청 가능 여부

설명 사용자가 로그인된 상태에서 의도치 않은 요청 가능 여부 예시 은행 송금 페이지 테스트