실무3 모의해킹 기초 실무 노트 II - 모의해킹, 웹 서비스 진단 모의해킹 점검 방법 1)KISA 43개 항목 - KISA 홈페이지 자료실->KISA Library 2)SANS TOP 25 3)OWASP TOP 10 - Open-Source Application Security Project의 약자로써, 웹보안 표준 기구, 70여개국 국가가 등록, 10대 웹 애플리케이션 취약점이 등록됨 4)국정원 8대 취약점 5)행안부 10대 취약점 ※업체마다의 모의해킹 방법론 + 최신 취약점들[Zero day Attack] 점검 체크 리스트 1)인증 우회 - 다른 사용자 게시물 수정 및 삭제 여부 확인, 상품 결제금액 조작 여부 확인, 관리자 페이지 접근 및 우회 가능성 확인 등 - 각종 서비스에 대한 진단 항목에 따른 취약점을 점검하고 취약점 유/무를 정리 2)문서 DRM 기준 -.. 2023. 12. 28. 모의해킹 기초 실무 노트 - 모의해킹 업무 모의해킹이란? Penetration : 침투,침입 해커와 동일한 환경과 조건, 해킹스킬을 가지고 모의침투 테스트를 수행, 실제로 시스템의 취약성을 통해 시스템이 어떠한 방식으로 침해될 수 있는지 여부를 점검 모의해커와 범죄자의 구분점 구분 모의해커 범죄자 합법적 여부 고객사와의 계약에 의한 합의 없이 1차 공격 포인터 웹서비스,모바일서비스 - DMZ Zone 개인 PC[Drive by Download] -악성코드 감염을 통한 공격 항목 네트워크 장애를 유발하는 DDOS, BoF 공격 제외 마음내키는대로 공격 시간 정해진 약속된 시간 마음내키는대로 모의해킹 업무의 범위 1.외부 비인가자 입장 - 외부 아이피 대역, 회원가입 NO 2.외부 인가자 입장 - 외부 아이피 대역, 회원가입 YES 3.내부 비인가자.. 2023. 12. 28. 실무를 위한 모의해킹 관련 정보 공유 + 웹 애플리케이션 점검 시 TIP 1. 모의해킹 절차 진단 시 절차는 사전 협의 - 정보 수집 - 위협 모델링 - 취약점 분석 - 침투 - 내부 침투 단계로 정의 2. 모의해킹과 크래킹의 큰차이점 크래킹은 악성 행위이며 불법적으로 진행, Drive by Download 형태로 공격이 진행 모의해킹은 합법적으로 진행하며 웹서비스 및 인프라를 대상으로 보통 진행 3. 모의해킹 시 중요한 점 - 시나리오를 기반으로 진행할 것(쇼핑몰 금액 조작의 경우 금액뿐 아닌 쿠폰, 적립금 등에 대한 부분을 타깃으로 해볼것) - 항상 넓게 보는 시야를 가지고 모의해킹 작업을 진행하는 것이 중요하다. - 모의해킹하는 대상 서비스(게임, 금융 등)에 대한 이해도를 넓히면 다각적으로 공격을 시도할 수 있다. - 진단 마무리 후 타 업체에 의해 취약점 발견 시? .. 2023. 12. 11. 이전 1 다음