I. 정보 수집
정보 수집 단계에서는 스크립팅 언어 유형, 서버 유형, 디렉토리 구조, 사용되는 오픈 소스 소프트웨어, 데이터베이스 유형, 연결된 모든 페이지, 사용된 프레임 등 대상 웹 응용 프로그램에 대한 정보를 가능한 많이 수집해야 합니다.
둘째, 허점 발견
이 단계에서 테스트할 때는 증상에 맞게 약을 투여해야지, 맹목적으로 스캔해서는 안 된다. 먼저 대상 애플리케이션이 오픈 소스 소프트웨어, 오픈 소스 프레임워크 등을 사용하는지 여부를 결정해야 합니다. , 그런 다음 깊이 취약성 검사를 수행하십시오.
셋째, 허점을 이용한다
약점에 따라 허점 활용 방식이 다르기 때문에 더 많은 지식 포인트가 필요하다. 일반적으로이 단계에는 두 가지 방법이 있습니다. 하나는 수동 테스트이고 다른 하나는 도구 테스트입니다.
수동 테스트
수동 테스트는 클라이언트나 서버를 통해 대상 서비스에 액세스하고, 유효한 입력과 유효하지 않은 입력, 대상 상태 관찰, 다양한 입력에 응답하고, 결과에 따라 문제를 발견하는 취약점 탐지 기술입니다.
도구 테스트
인터넷에는 SQL 에 주입된 sqlMAP 및 소프트웨어 취약점에 대한 matesploit 과 같은 유용한 무료 도구가 많이 있습니다.