기존 요청에서 침투 테스트 평가 요청 생성(v19.0)

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기4분

    • v19.0부터는 기존 요청 목록에서 직접 침투 테스트 평가 요청을 생성합니다. 이 목록에서 종결 상태의 기존 요청을 복사하여 요청을 생성할 수도 있습니다.

    시작하기 전에

    필요한 역할: App-Sec 관리자

    이 태스크 정보

    의 v19.0 취약성 대응부터 를 사용하는 Veracode Vulnerability Integration경우 의 침투 평가 테스트는 Veracode Vulnerability Integration 의 수동 결과 Veracode입니다. 에서 구성하는 애플리케이션 취약성 대응침투 테스트 평가 요청에는 연결되지 않습니다. 의 Veracode침투 테스트 평가에 대한 자세한 내용은 를 Veracode Vulnerability Integration참조하십시오.

    프로시저

    1. 다음으로 이동 모두 > 침투 테스트 평가 요청 > 모두.
    2. 옵션: 또는 종결된 요청을 복제하여 요청을 생성할 수 있습니다.
      원래 요청의 모든 값이 새 양식에 보존됩니다. 활성 AVI(애플리케이션 취약한 항목)가 새 요청에 자동으로 복사됩니다. 종결 상태의 기록에서 요청 복사 및 생성을 선택합니다.
    3. 새로 만들기를 선택하고 필드를 입력합니다.
      표 1. 침투 테스트 평가 요청 양식
      필드 설명
      번호 침투 테스트 평가 요청에 대해 생성된 고유 식별자입니다.
      상태 요청 상태에 따라 값을 선택합니다.
      요청한 사람 애플리케이션 평가를 요청하는 사람입니다.
      할당 그룹 침투 테스트 결과에 대한 작업을 위해 선택된 그룹입니다. App-Sec 관리자가 수동으로 추가하거나 편집할 수 있습니다.

      그룹을 구성하려면 다음 문서를 참조하십시오 침투 테스트 구성.
      애플리케이션 검색 옵션을 사용하여 애플리케이션을 선택합니다.
      담당자 침투 테스트 결과에 대해 작업하는 선택된 할당 그룹의 개인입니다. App-Sec 관리자가 수동으로 추가하거나 편집할 수 있습니다.
      애플리케이션 유형 다음 옵션 중에서 선택합니다.
      • 웹 서비스(v16.1 이전에는 API라고 함)
      • 웹 애플리케이션
      • Thick 클라이언트
      • 모바일( 모바일을 선택하면 모바일 탭이 추가 필드와 함께 양식 하단에 표시됨)
      스프린트 선택한 평가 유형 필드에 따라 평가 요청을 수용하는 데 사용할 수 있는 대역폭이 있는 스프린트를 표시합니다.

      스프린트 용량 및 테스트 범위 수정에 대한 자세한 내용은 을 참조하십시오 침투 테스트를 위한 스프린트 구성침투 테스트에 대한 평가 유형 구성 .
      v19.0: 애플리케이션 크기 테스트할 애플리케이션의 크기를 선택합니다.
      • 작게
      • 보통
      • 크게
      • 표준(크기를 잘 모를 경우 이 옵션 선택)

      스프린트 용량을 수정하고 애플리케이션 크기 및 스프린트 용량으로 범위를 테스트하는 방법에 대한 자세한 침투 테스트 구성 내용을 참조하십시오.
      작성됨 요청이 생성된 날짜 및 시간입니다.
      평가 유형 다음에서 평가 유형을 선택합니다.
      • 전체 침투 테스트
      • 집중 테스트
      • 다시 테스트
      테스트 조합 및 테스트 범위에 대한 자세한 내용은 다음 문서를 참조하십시오 침투 테스트에 대한 평가 유형 구성.
      업데이트됨 요청이 마지막으로 업데이트된 날짜 및 시간입니다.
      데모 날짜 이 애플리케이션을 시연할 수 있는 날짜입니다.
      계획된 제품 배포 이 애플리케이션을 프로덕션 환경에 배포하기로 계획된 날짜입니다.
      배포의 애플리케이션 버전/계획된 릴리스 프로덕션 배포를 위해 계획된 애플리케이션의 버전입니다.
      v19.0: 외부 공급업체 또는 합작 투자 업체가 소유한 애플리케이션 탭

      이 필드에 대해 예를 선택하면 벤더/합작 투자 업체 정보 탭이 표시됩니다. 추가 필드를 채웁니다.
      펜 테스트를 수행할 수 있는 조항이 있습니까? '조항'이라는 용어는 추가하려는 둘 이상의 당사자 간에 존재하는 모든 계약을 포함하는 테스트 표준을 나타낼 수 있습니다. 예를 선택하는 경우 절을 추가합니다.
      펜 테스트를 수행할 수 있는 권한을 인용하는 조항
      벤더의 전체 법적 이름 및 주소
      침입 탐지 시스템
      벤더의 기술 연락처
      로그된 정보가 악성 활동에서 검토되었습니까?
      애플리케이션이 다른 외부 공급업체 벤더에 의해 호스팅됩니까?
      펜 테스트에 서명할 벤더의 연락처
      애플리케이션 상세 정보 탭
      애플리케이션 목적 애플리케이션의 기능에 대한 설명입니다.
      기술 스택 상세 정보 프론트엔드에서 백엔드, 데이터베이스 및 기타 핵심 기술에 이르는 완전한 기술 스택.
      외부 공급업체 애플리케이션입니까? 이 애플리케이션이 외부 공급업체 벤더의 소유인지 확인합니다.
      애플리케이션에서 액세스할 수 있는 민감한 데이터의 목록 유형 애플리케이션에서 액세스할 수 있는 민감한 데이터의 유형입니다. PII 데이터, PHI 데이터, 신용 카드 번호 등의 재무 데이터를 예로 들 수 있습니다.
      인증 유형 이 애플리케이션이 LDAP 인증, 자체 기본 인증 또는 기타 인증 양식을 사용하는지 여부를 지정합니다.
      애플리케이션이 모든 준수 프로그램의 범위에 있습니까? 이 애플리케이션이 PCI와 같은 준수 프로그램에 영향을 주는지 여부를 지정합니다.
      애플리케이션 팀 연락처 질문이 있는 경우 윤리적 해킹 팀에서 연락할 애플리케이션 팀 구성원입니다.
      규정 준수 프로그램 목록
      관련 외부 공급업체 인터페이스 또는 애플리케이션
      IP 주소
      프로덕션 중인 사용자의 대략적인 수?
      자동화된 스크립트가 있습니까?
      이 앱의 프로덕션 버전이 외부에 연결되어 있습니까?
      v 19.0: 비즈니스 영향
      재정적 손상 목록에서 하나를 선택합니다.
      미준수 목록에서 하나를 선택합니다.
      평판 손상 목록에서 하나를 선택합니다.
      개인정보 보호 위반 목록에서 하나를 선택합니다.
      테스트 상세 정보 탭
      테스트할 URL 침투 테스트에 포함되어야 하는 URL입니다.
      제외할 URL 침투 테스트에서 제외되어야 하는 URL입니다.
      이 애플리케이션이 이전에 테스트되었습니까? 이 애플리케이션이 이미 침투 테스트를 거쳤는지 여부를 지정합니다.
      재시도 이유 애플리케이션이 이전에 테스트된 경우 침투 테스트 재평가를 요청하는 이유입니다.
      애플리케이션은 언제 테스트되었습니까? 애플리케이션이 침투 테스트를 거친 시간 범위입니다.
      테스트 계정 상세 정보 윤리적 해킹 팀에서 침투 테스트에 사용할 수 있는 테스트 계정의 상세 정보입니다.
      애플리케이션 역할 해당 사용자에 대해 애플리케이션에서 지원하는 역할입니다.
      가장 많이 사용된 역할 애플리케이션에서 가장 일반적으로 사용되는 역할입니다.
      추가 의견 탭
      작업 메모
    4. 저장을 선택하여 편집 내용을 저장하거나 제출을 선택하여 요청을 시작합니다.