반응형
* 정적 분석 : 소프트웨어가 실행되지 않는 환경 하, 소스 코드 의미를 분석, 결함을 찾아내는 분석 기법
* 정적 분석 분류
| 분류 | 내용 |
| 소스 코드 분석 | 시큐어 코딩 가이드 기반 취약한 항목의 존재 확인 |
| 시멘틱 분석 | 인터페이스 & 함수 호출의 구조적 취약점을 분석 |
| 바이너리 구조 분석 | 역공학 분석 도구를 이용 |
* 동적 분석 : 소프트웨어가 실행중인 환경 하, 다양한 입/출력 데이터, 사용자 상호작용의 변화들을 점검
* 동적 분석 분류
| 분류 | 내용 |
| 행위 탐지 기법 | 실행 시 취약/이상 현상을 탐지 |
| 샌드박스 기법 | 가상화 환경에서 직접 실행을 통해 이상 현상을 분석 |
| 모의 해킹 | 실제 화이트 해커가 직접 진단 |
* 정적 / 동적분석 비교
| 비교 | 정적 분석 | 동적 분석 |
| 점검 대상 | 프로그램 소스 코드 | 실제 애플리케이션 |
| 평가 기술 | 기존의 패턴 비교 | HTTP 메세지의 변경 점검 |
| 점검 단계 | 애플리케이션 개발 시점 | 애플리케이션 운영 시점 |
| 결과 | 소스의 라인별 결과 표시 | 요청 / 응답에 따른 결과 |
- 보통 둘은 상호 보완적 차원에서 함께 많이 사용됨
반응형
'Information Security > Hacking' 카테고리의 다른 글
| 파일 업로드 취약점 (File Upload Vulnerability) (0) | 2021.02.15 |
|---|---|
| 웹 상 운영체제 명령어 실행 (OS Command Execution on Web) (0) | 2021.02.14 |
| 시큐어 SDLC (Secure Software Development Life Cycle) (0) | 2021.01.09 |
| 시큐어 코딩 (Secure Coding) (0) | 2021.01.09 |
| 사이버 표적 공격 역추적 (Advanced Persistent Threat Traceback) (0) | 2021.01.09 |
