ITPE * JackerLab

개요AST Orchestration은 다양한 애플리케이션 보안 테스트(AST: Application Security Testing) 도구를 통합하여 자동화된 보안 테스트 파이프라인을 구축하고 운영하는 보안 관리 접근 방식이다. 현대 DevSecOps 환경에서는 SAST, DAST, SCA, IaC Security, API Security 등 여러 보안 도구가 사용되며, AST Orchestration은 이러한 도구들을 하나의 통합 플랫폼에서 조정하여 효율적인 보안 테스트와 취약점 관리를 가능하게 한다.1. 개념 및 정의AST Orchestration은 다양한 보안 테스트 도구와 개발 파이프라인을 연결하여 보안 검사를 자동으로 실행하고 결과를 통합 관리하는 보안 운영 체계이다.주요 목적은 다음과 같다.애플..

개요OWASP ZAP은 OWASP(Open Web Application Security Project)에서 개발한 오픈소스 웹 애플리케이션 보안 테스트 도구입니다. 보안 전문가와 개발자가 웹 애플리케이션의 취약점을 자동 및 수동으로 분석할 수 있도록 지원하며, OWASP Top 10 기준에 따라 다양한 공격 시나리오를 모의 테스트합니다. 무료이면서도 강력한 기능으로 전 세계 보안 커뮤니티에서 표준 도구로 자리잡았습니다.1. 개념 및 정의 항목 내용 비고 정의웹 애플리케이션의 보안 취약점을 분석하고 테스트하는 프록시 기반 도구Dynamic Application Security Testing (DAST)목적웹 서비스의 공격 벡터 탐지 및 보안 강화웹 보안 품질 개선필요성실시간 웹 보안 점검 및 개발 단계..

개요DAST(Dynamic Application Security Testing)는 실행 중인 애플리케이션을 외부에서 테스트하여 보안 취약점을 탐지하는 블랙박스 방식의 보안 진단 기법입니다. 코드 분석이 아닌, 실제 런타임 환경에서 웹 애플리케이션의 동작을 분석하여 입력 검증, 세션 관리, 인증/인가 등 다양한 공격 벡터를 탐지할 수 있습니다. SAST와 함께 DevSecOps 체계에서 중요한 역할을 하며, 배포 전/후 보안 검증을 담당합니다.1. 개념 및 정의 항목 설명 정의DAST는 애플리케이션 실행 중 외부에서 공격 시나리오를 모의 적용하여 보안 결함을 탐지하는 기술입니다.목적배포된 애플리케이션에서 실제 사용자가 접속하는 환경에서의 취약점 검출필요성사용자 입력 기반의 동적 취약점을 탐지할 수 있는 ..