모의해킹 기초 실무 노트 II - 모의해킹, 웹 서비스 진단

모의해킹 점검 방법
1)KISA 43개 항목 - KISA 홈페이지 자료실->KISA Library
2)SANS TOP 25
3)OWASP TOP 10 - Open-Source Application Security Project의 약자로써, 웹보안 표준 기구, 70여개국 국가가 등록, 10대 웹 애플리케이션 취약점이 등록됨
4)국정원 8대 취약점
5)행안부 10대 취약점
※업체마다의 모의해킹 방법론 + 최신 취약점들[Zero day Attack]

점검 체크 리스트
1)인증 우회 - 다른 사용자 게시물 수정 및 삭제 여부 확인, 상품 결제금액 조작 여부 확인, 관리자 페이지 접근 및 우회 가능성 확인 등 - 각종 서비스에 대한 진단 항목에 따른 취약점을 점검하고 취약점 유/무를 정리
2)문서 DRM 기준 - 강제 프로세스 죽이기, DRM 문서 내 문서로 복사 후 DRM 해제 여부 등

모의해킹 시나리오 작성
1)DMZ -> 서버 침투
o 관리자 권한 획득을 통한 시스템 침투 - 관리자 로그인 페이지 인증 부분 sql 인젝션 취약점을 통해 권한 우회,관리자 공지 게시판 첨부파일 파일 업로드 취약점을 통해 시스템 침투
o 내부 근접 서버 침투 - 서버에 백도어 설치 및 계정 추가, 터널링 기법을 이용하여 내부 시스템 침투후 근접 네트워크 정보 수집, 침투한 서버와 동일한 계정을 사용하는 내부 서버 다수 침투

2)금전적 피해
o 결제 금액 조작 - 상품 금액 결제 과정에서 프로세스 우회를 통한 금액 조작, 쿠폰 가격 할인을 조작해 최종 결제금액 우회, 다른사용자 E-money 이용 결제금액 우회 

★영향도 평가
서비스마다 다를수 있는 부분으로 취약점을 통해 침투해도 실행 권한이 없거나 공격할 것이 없으면 리스크가 적을것
파일 업로드 취약점 - VH(Very High) , XSS - M(Medium)
발견된 취약점에 대한 Risk Assessment Calculate를 하여 영향도에 대한 평가
oBasic Metrics - 오랜 시간 거쳐 지속되고있는 취약점의 기본적인 특성에 대한 기준으로 사용자 환경에 대한 취약점도 포함
oTemporal Metrics - 지속적으로 변화하는 취약점의 특성에 대한 기준으로 사용자 환경은 고려되지 않음
oEnvironmental Metrics - 특정 사용자 환경에만 해당되는 취약점의 근본 특성에 대한 기준수

수행 단계별 방법
1]정보 수집 - DMZ에서 부터 시작하여 내부 서버까지 진입하기 위한 각종 해킹에 필요한 정보를 수집하고 그에 대한 상세한 보고서
2]취약점 수집 - 얻은 정보를 통한 각종 취약점을 수집하고 해당 취약점에 대해 보고서에 상세히 작성
3]침투 단계 - 얻은 정보와 취약점을 이용해 실제 모의해킹을 수행하고 그 과정읇 보고서에 작성
4]상세 분석 - 침투 후 취약한 부분, 침해 부분, 리스크 등에 대한 상세 분석 내용을 보고서에 작성
5]보고서 작성 - 보고서 작성 마무리


★모의해킹 수행 과정간 사용되는 도구 이름과 사이트를 기재한다.

수행업체에서 확보하고 있는 라이센스 도구만 기재, 없다면 오픈소스 도구만 기재해야한다.

점검 도구에 대한 간단한 메뉴얼도 별도로 준비하자.

​

ex) 점검 도구

본 모의해킹을 수행하면서 사용된 도구는 아래와 같으며 자세한 메뉴얼은 ....

도구이름                사이트                     용도

Cain & Abel.   http://www....    스니핑,패스워드 크랙

​
★사이트맵을 이용해서 메뉴를 파악하자 - 어떤 기능들이 포함되어있는지, 게시판이 몇개인지, 볼 포인트들 등 확인 가능

​
쇼핑몰 사이트를 모의해킹 시) 단순히 품목에 대한 가격 부분의 입력값을 검증받는 것만이 아닌, 쿠폰 금액, 스탬프, 포인트, 추가제품 금액 등 여러 부분의 입력값에 대한 검증을 시도해야한다.