Job SSul Series 1 : 해킹 방어 실습 - EP3 시큐어코딩 점검 툴 설치
안녕하세요.
IT+정보보안을 12년간 Job으로하고 있는 저는 어떻게 공격이 들어오고 이걸 어떻게 방어해야 할 것인가에 대하여 Job SSul을 풀어보는 첫 시리즈로 어플리케이션 해킹과 방어가 어떻게 이루어지는지를 주제로 삼았습니다.
지난 포스트들에 이어 환경구성을 계속 해보겠습니다. - 소스코드 취약점 점검 툴 설치
https://steemit.com/kr/@ziqon/job-ssul-series-1-ep1
https://steemit.com/steemit/@ziqon/job-ssul-series-1-ep2-victim
소스코드 취약점 점검 툴은 아래와 같이 강력한 툴들이 많습니다.
여기서 이클립스 플러그인을 통해 쉽게 취약점을 찾을 수 있도록 공개용 툴인 Findbugs security를 설치해보도록 하겠습니다.
아래와 같이 이클립스 상에서 소프트웨어를 다운로드합니다.
다운로드 받은 소프트웨어가 unsign되었다는 경고팝업이 뜨면 Install Anyway버튼을 클릭합니다.
여기서 취약점 검사 기능을 추가하기 위해서는 아래 사이트로 접속하여 파일을 다운로드 받습니다.
https://find-sec-bugs.github.io/
다운로드받은 파일을 import 하기 위해서 아래 메뉴로 들어갑니다.
설정은 아래와 같이 해주고
Plugins and misc Settings에서 Add버튼을 클릭하여 다운로드받은 파일을 체크합니다.
Apply and close버튼을 눌러 설정을 마칩니다.
소스코드 취약점 점검 결과를 확인하기 위한 뷰(view) 창을 추가해보도록하겠습니다.
이제 설치가 완료되었고 취약점 점검을 실행해보도록 하겠습니다.
아래와 같이 취약점들이 우르르 쏟아지는 군요. 우리 불쌍한 web goat!!
이상 환경세팅은 3개의 포스팅으로 마무리하고 다음 포스팅에서는 실제 공격과 방어를 어떻게 할 수 있는지 실습해보겠습니다~~