침투 테스트 평가 요청 생성(v19.0 이전)

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기4분

    • 웹 애플리케이션 또는 API에 대한 침투 테스트 평가 요청을 시작합니다. 이러한 요청은 윤리적 해킹 팀에 제출되며, 윤리적 해킹 팀은 이러한 애플리케이션을 테스트하고 침투 테스트 결과를 수동으로 보고합니다.

    시작하기 전에

    필요한 역할: App-Sec 관리자

    이 태스크 정보

    애플리케이션 소유자는 애플리케이션 또는 API를 수동으로 스캔하도록 침투 테스트 평가 요청을 제기합니다. 윤리적 해킹 팀은 애플리케이션을 테스트하고 침투 테스트 결과를 수동으로 생성합니다. 이러한 결과는 수동으로 생성된 애플리케이션 취약한 항목(AVI)입니다.

    침투 테스트 결과에 대한 기본 할당 그룹은 연결된 침투 테스트 평가 요청의 "애플리케이션 팀" 필드에 구성된 그룹입니다. 침투 테스트 결과의 할당 유형은 수동입니다. 할당 규칙은 이러한 침투 테스트 결과의 할당을 무효화할 수 없습니다.

    v19.0부터 침투 테스트 평가 요청 [sn_vul_pen_test_assessment_request_list] 테이블에서 직접 침투 테스트 평가 요청을 생성할 수 있습니다. 자세한 내용은 기존 요청에서 침투 테스트 평가 요청 생성(v19.0) 문서를 참조하십시오.

    프로시저

    1. v19.0 이전에는 모두 > Self-Service > 서비스 카탈로그 > 서비스 > 침투 테스트 평가 요청.
    2. 옵션: 또는 종결된 요청을 복제하여 요청을 생성할 수 있습니다.
      원래 요청의 모든 값이 보존됩니다. 활성 AVI(애플리케이션 취약한 항목)가 새 요청에 자동으로 복사됩니다.
    3. 양식의 필드에 내용을 입력합니다.
      표 1. 침투 테스트 평가 요청 양식
      필드 설명
      번호 침투 테스트 평가 요청에 대해 생성된 고유 식별자입니다.
      요청한 사람 애플리케이션 평가를 요청하는 사람입니다.
      상위 평가 요청 하위 요청을 생성하는 데 사용된 원래 침투 테스트 평가 요청입니다. 종결된 평가 요청을 사용하여 생성됩니다. 하위 평가 요청 양식에만 표시됩니다.
      애플리케이션 검색 옵션을 사용하여 애플리케이션을 선택합니다.
      애플리케이션 유형 다음 중에서 옵션을 선택합니다.
      • 웹 서비스(v16.1 이전 API라고 함)
      • 웹 애플리케이션
      • Thick 클라이언트
      • 모바일(모바일을 선택하면 모바일 탭이 추가 필드와 함께 폼 하단에 표시됩니다.)
      v19.0: 애플리케이션 크기 테스트할 응용 프로그램의 크기를 선택합니다.
      • 작게
      • 보통
      • 크게
      • 표준(크기를 잘 모르는 경우 이 옵션 선택)
      평가 유형 다음에서 평가 유형을 선택합니다.
      • 전체 침투 테스트
      • 집중 테스트
      • 다시 테스트
      자세한 내용은 침투 테스트에 대한 평가 유형 구성 문서를 참조하십시오.
      애플리케이션 목적 애플리케이션의 기능에 대한 설명입니다.
      기술 스택 상세 정보 프론트엔드에서 백엔드, 데이터베이스 및 기타 핵심 기술에 이르는 완벽한 기술 스택.
      외부 공급업체 애플리케이션입니까? 이 애플리케이션이 외부 공급업체 벤더의 소유인지 확인합니다.
      애플리케이션에서 액세스할 수 있는 민감한 데이터의 목록 유형 애플리케이션에서 액세스할 수 있는 민감한 데이터의 유형입니다. 예를 들어 PII 데이터, PHI 데이터 및 신용 카드 번호와 같은 재무 데이터가 있습니다.
      인증 유형 이 애플리케이션이 LDAP 인증, 자체 기본 인증 또는 기타 인증 양식을 사용하는지 여부를 지정합니다.
      애플리케이션이 모든 준수 프로그램의 범위에 있습니까? 이 애플리케이션이 PCI와 같은 규정 준수 프로그램에 영향을 미치는지 여부를 지정합니다.
      애플리케이션 팀 연락처 질문이 있는 경우 윤리적 해킹 팀에서 연락해야 하는 애플리케이션 팀 구성원입니다.
      데모 날짜 이 애플리케이션을 시연할 수 있는 날짜입니다.
      계획된 제품 배포 이 애플리케이션을 프로덕션에 배포할 계획된 날짜입니다.
      배포의 애플리케이션 버전/계획된 릴리스 프로덕션 배포를 위해 계획된 애플리케이션의 버전입니다.
      v19.0: 타사 공급업체 또는 합작 투자 업체가 소유한 애플리케이션 이 필드에 대해 예를 선택하면 벤더/합작 투자 정보 탭이 추가 필드와 함께 표시됩니다.

      '조항'이라는 용어는 둘 이상의 당사자 간에 존재하는 모든 계약을 포함하는 테스트 표준을 나타낼 수 있습니다.
      상태 요청 상태에 따라 값을 선택합니다.
      담당 그룹 침투 테스트 결과에 대한 작업을 수행하도록 선택한 그룹입니다. App-Sec 관리자가 수동으로 추가하거나 편집할 수 있습니다.
      담당자 침투 테스트 결과에 대해 작업하는 선택한 할당 그룹의 개인입니다. App-Sec 관리자가 수동으로 추가하거나 편집할 수 있습니다.
      스프린트 선택한 평가 유형 필드를 기준으로 평가 요청을 수용할 수 있는 대역폭으로 스프린트를 표시합니다.
      작성됨 요청이 생성된 날짜 및 시간입니다.
      테스트 시작 날짜 테스트가 시작되는 날짜 및 시간입니다.
      업데이트됨 요청이 마지막으로 업데이트된 날짜 및 시간입니다.
      테스트 상세 정보
      테스트할 URL 침투 테스트에 포함되어야 하는 URL입니다.
      제외할 URL 침투 테스트에서 제외되어야 하는 URL입니다.
      이 애플리케이션이 이전에 테스트되었습니까? 이 애플리케이션이 이미 침투 테스트를 거쳤는지 여부를 지정합니다.
      재시도 이유 애플리케이션이 이전에 테스트된 경우 침투 테스트 재평가를 요청하는 이유입니다.
      애플리케이션이 언제 테스트되었습니까? 애플리케이션이 침투 테스트를 거친 시간 범위입니다.
      테스트 계정 상세 정보 침투 테스트를 위해 윤리적 해킹 팀에서 사용할 수 있는 테스트 계정의 세부 정보입니다.
      애플리케이션 역할 애플리케이션에 지원되는 역할입니다.
      가장 많이 사용된 역할 애플리케이션에서 가장 일반적으로 사용되는 역할입니다.
    4. 제출을 선택합니다.
      관련 애플리케이션에 대한 요청이 생성되었다는 이메일 알림이 윤리적 해킹 팀에 전송됩니다.