OWASP기반의 보안테스트 기법

◎ 교육개요 

 

본 교육은 국가인적자원개발 컨소시엄 사업의 일환으로 한국정보통신기술협회와 「IT 품질 전문인력 육성」 컨소시엄 협약을 맺은 기업의 소속 재직자를 대상으로 합니다.

 

 

○ 과 정 명 : OWASP기반의 보안테스트 기법 (1차)

○ 교육기간 : 2018년 4월 9일(월)~11일(수) 3일, 24시간

○ 교육장소 : 한국정보통신기술협회(TTA) 9층 컨소시엄교육장

○ 교육대상 : TTA 아카데미 컨소시엄 협약기업 재직자(협약기업이 아니신 경우, 신규 협약체결이 필요)

※ 학생, 기업대표, 공무원 수강 불가

※ 컨소시엄 협약기업 목록보기(링크)

※ 신규 협약체결 방법 : TTA아카데미 홈페이지 참조(링크)

○ 교육정원 : 20명(선착순 마감)

○ 교육비용 : 협약기업 재직자 무료 (교재 및 실습 장비 제공)

 

 

◎ 교육내용 

 

구분	목차	내용
1일차 (9:00~18:00)   강사 : 임호진	○ 정보보안 테스트 개요	- 정보보안 목표 - ITCompliance - 보안 테스트 필요성
	○ 최근침해 사례 분석	- APT 공격 - 웹 사이트를 이용한 악성코드 배포 - 개인정보 노출 사고
	○ OWASP 개발보안 방법론	- MS-SDL방법론 - 7-Touch Point - CLASP
	○ OWASP Top 10 개요	- OWASP Top 10 취약점
	○ 보안 테스트 기법	- 위험기반 테스트 - 상태기반 테스트 - 테스트 시나리오 작성
	○ 보안 테스트 시나리오 실습	- 웹 사이트를 기반으로 하는 시나리오 작성 실습 - 시나리오 및 테스트 케이스 도출
	○ HTTP 프로토콜 구조분석 실습	- HTTP와 HTTPS 동작 방식 - HTTP 보안 취약점 도출(테스트케이스) - 스니핑을 통한 패킷분석 - Web Proxy를 사용한 패킷변조
2일차 (9:00~18:00)   강사 : 임호진	○ 인젝션 보안 테스트 개요 및 실습	- SQL Injection - Blind SQL Injection - Time Base Injection - Union Injection
	○ 인증 및 세션 취약점 테스트	- 세션 하이재킹을 사용한 취약점 - 세션 하이재킹 대응방법
	○ 크로스 사이트 스크립핑	- HTML 태그를 사용한 Stored XSS 및 Reflective XSS
	○ 취약점 접근제어	- 파라미터 변조를 통한 접근권한 우회 테스트 - 관리자 사이트에 대한 임의적 접근 제어 테스트 - 특수권한 사용한 권한획득 테스트
	○ 보안설정 오류	- 웹서버 정보노출 - CVE 취약점 확인
	○ 민감 데이터 노출	- Hooking 및 변조를 통한 개인정보 노출 테스트
3일차 (9:00~18:00)   강사 : 임호진	○ 크로스 사이트 변조요청	- CSRF 테스트
	○ 알려진 취약한 컴포넌트 사용	- OPENSSL 취약점 - 웹 사이트 취약점 - DB 취약점
	○ 취약한 API	- C언어 취약한 함수 - JAVA언어 취약한 함수
	○ OWASP 대응 위한 분석/설계 활동	- OWASP를 고려한 요구사항 분석 - 설계단계 활동
	○ 최근 웹사이트 테스트 사례	- 최근 웹사이트 테스트 사례

 

◎ 유의사항 

 

○ 교육 취소 또는 미수료 시 본인 및 회사 임직원 전체의 수강이 제한될 수 있으므로 유의해주시기 바랍니다.

 - 교육 취소 기간 : 교육 시작일 기준 3일전까지(주말제외, 근무일 기준으로 산정)

○ 주차공간이 협소하여 TTA 건물 내 주차가 불가능 합니다.

 - 분당구청, 서현역 공영주차장 이용 바랍니다. (30분 400원, 10분 200~300원, 주차비 지원하지 않음)

http://champ.tta.or.kr/usr/EgovUsrEduAppDetail.do?idx=104&baseUsrMenuNo=3&imgNum=1&pageIndex=1