'보안 컨설팅 시 detail한 test case를 고객에게 주는 것이 좋은가?'라는 의문을 느끼게 된 자료라서 올려봤습니다.
위의 자료는 크게 1. Input Validation Test 2. Logic Abuse Test 의 두 부분으로 나누고 (이 부분은 국내의 보안 컨설팅과 동일합니다), 각 URL의 parameter를 일일이 열거한 후, 점검에 사용한 Test case를 기록하고, Fail/Pass 를 기록하고 있습니다.
이렇게 정리하는 것은 툴의 도움을 받아 손쉽게 할 수 있는 부분이지만, 문제는 Test case가 방대할 경우입니다. Test case가 방대해지면, 각 테스트 결과를 일일이 Fail/Pass로 기록하는 것은 상당한 노고가 수반됩니다. 보통 Fail 하는 Test case만 정리해도 프로젝트 종료일이 다가오거든요.
고객 입장에선 이전 보안 진단에서 어떤 URL의 어떤 parameter에 대해 어떤 테스트를 진행했는가를 명확히 알 수 있기 때문에 편리하지만, 사실 대부분의 고객들은 해당 내용에 관심이 없습니다.
제가 보기엔 얻는 이익에 비해, 비용이 많이 들기 때문에 위와 같은 방식을 선택하기 보다는, 짧은 일정 내에 최대한 많은 패턴으로 테스트해서 취약점을 하나라도 더 찾아내는 것이 고객 입장에서 더 이득이 됩니다.
그러나, 시간이 허락한다면 위와 같이 명료하게 Test case를 정리해서, 향후 고객의 추가 진단/이행 점검 작업에도 도움을 줬으면 좋겠다는 바람입니다.
아. 그렇군요. 말씀해주신 내용고 관련해서 퍼뜩 떠오르는게 있는데, 그러한 내용을 주어야 할 지의 여부는 '그때그때 다르다'고 정의하는게 맞는 것같다는 생각이 듭니다. 이를테면 이런 식일겁니다:
1. 이걸 받아들 실무진은 누구인가? 2. 이걸 누구에게까지 보고할 것인가? 3. 보고받는 측의 IT 이해도는 어느 정도 수준인가?
등이 예가 될 것 같습니다. 개인적인 생각에는 임원진이 IT에 대한 이해가 그리 높지 않다면 그냥 executive summary(1 page)정도와 함께 간단한 리포트 정도만 제공해줘도 무방하겠지만, 이 사람들이 이걸 추후에 유용하게 쓸만한 역량이 되거나 하는 경우라면 줘야되지 않나 싶습니다.
아, 물론 관련 분야를 잘 모르는 사람에게 멋지게 보이기 위해서라면 Flash 등을 이용한 애니메이션으로 결과를 제공해주는 것도 괜찮지 않을까 싶습니다. 역시 잘 모르면 일단 '보이는 것'으로 판단하기 나름이니까요.
데이타를 보니 예전에 sql injection관련해서 웹에 보면 차단 소스가 생각나네요. 저희 사이트는 그런소스에 테이블에 인위적으로 해당 ip랑 공격 패턴 쌓아서 추가로 막았던 기억이~ ㅡ.ㅡ 제가 지식이 짧네요..댓글하면 죄다 sql injection 관련이넹.ㅡ.ㅡ..
덧글
T_Robin 2009/05/25 09:21 # 답글
인젝션 시도에 대한 로그인가요?
헐랭이 2009/05/25 10:58 #
'보안 컨설팅 시 detail한 test case를 고객에게 주는 것이 좋은가?'라는 의문을 느끼게 된 자료라서 올려봤습니다.위의 자료는 크게
1. Input Validation Test
2. Logic Abuse Test
의 두 부분으로 나누고 (이 부분은 국내의 보안 컨설팅과 동일합니다),
각 URL의 parameter를 일일이 열거한 후, 점검에 사용한 Test case를 기록하고, Fail/Pass 를 기록하고 있습니다.
이렇게 정리하는 것은 툴의 도움을 받아 손쉽게 할 수 있는 부분이지만, 문제는 Test case가 방대할 경우입니다.
Test case가 방대해지면, 각 테스트 결과를 일일이 Fail/Pass로 기록하는 것은 상당한 노고가 수반됩니다.
보통 Fail 하는 Test case만 정리해도 프로젝트 종료일이 다가오거든요.
고객 입장에선 이전 보안 진단에서 어떤 URL의 어떤 parameter에 대해 어떤 테스트를 진행했는가를 명확히 알 수 있기 때문에 편리하지만, 사실 대부분의 고객들은 해당 내용에 관심이 없습니다.
제가 보기엔 얻는 이익에 비해, 비용이 많이 들기 때문에 위와 같은 방식을 선택하기 보다는, 짧은 일정 내에 최대한 많은 패턴으로 테스트해서 취약점을 하나라도 더 찾아내는 것이 고객 입장에서 더 이득이 됩니다.
그러나, 시간이 허락한다면 위와 같이 명료하게 Test case를 정리해서, 향후 고객의 추가 진단/이행 점검 작업에도 도움을 줬으면 좋겠다는 바람입니다.
보다 상세한 사항은 출처의 링크를 참고하시는 것이 좋겠습니다.
T_Robin 2009/05/25 13:01 #
아. 그렇군요.말씀해주신 내용고 관련해서 퍼뜩 떠오르는게 있는데, 그러한 내용을 주어야 할 지의 여부는 '그때그때 다르다'고 정의하는게 맞는 것같다는 생각이 듭니다. 이를테면 이런 식일겁니다:
1. 이걸 받아들 실무진은 누구인가?
2. 이걸 누구에게까지 보고할 것인가?
3. 보고받는 측의 IT 이해도는 어느 정도 수준인가?
등이 예가 될 것 같습니다. 개인적인 생각에는 임원진이 IT에 대한 이해가 그리 높지 않다면 그냥 executive summary(1 page)정도와 함께 간단한 리포트 정도만 제공해줘도 무방하겠지만, 이 사람들이 이걸 추후에 유용하게 쓸만한 역량이 되거나 하는 경우라면 줘야되지 않나 싶습니다.
아, 물론 관련 분야를 잘 모르는 사람에게 멋지게 보이기 위해서라면 Flash 등을 이용한 애니메이션으로 결과를 제공해주는 것도 괜찮지 않을까 싶습니다. 역시 잘 모르면 일단 '보이는 것'으로 판단하기 나름이니까요.
손님 2009/05/25 13:16 # 삭제 답글
데이타를 보니 예전에 sql injection관련해서 웹에 보면 차단 소스가 생각나네요.저희 사이트는 그런소스에 테이블에 인위적으로 해당 ip랑 공격 패턴 쌓아서 추가로 막았던 기억이~
ㅡ.ㅡ 제가 지식이 짧네요..댓글하면 죄다 sql injection 관련이넹.ㅡ.ㅡ..
오늘 하늘을 보니..왠지 햇빛이 아름답지 만은 않네요..왜일런지..쩝..