모의해킹/1주차
모의해킹 절차 이해
s_urreal
2021. 10. 14. 17:59
728x90
모의해킹 절차
| 절차 | 설명 |
| 사전협의단계 | 담당고객(관리실무자)와 프로젝트 진행 범위 결정 |
| 정보수집단계 | 점검할 대상에 대해 어떤 서비스인지, 외부에 노출되어 있는 모든 정보 수집 |
| 위협모델링단계 | 수집된 정보중에서 서비스와 비교를 하여 보안적인 문제가 발생할 수 있는 부분 분류 |
| 취약점 분석 단계 | 진단 항목에 맞게 어떤 취약점들이 도출될 수 있는지 확인 |
| 침투단계 | 시나리오 기반으로 각 진단 항목을 서비스에 대입하여 침투 여부 확인 |
| 내부침투단계 | 1차 침투가 완료된 후에 2차, 3차로 내부 시스템 침투 여부 확인 |
| 보고서 작성 | 도출된 취약점 위협평가, 영향도를 반영하여 결과 보고 작성 |
사전협의단계
Task 1 웹 어플리케이션 취약점 진단
- 외부 모의해킹 : 대표 홈페이지 등 16개 URL
- 내부 모의해킹 : 그룹웨어, CRM 등 5개
Task 2 무선 네트워크 취약점 진단
- 외부->내부 : OO 건물, OO 건물 OO 층
- 내부->외부 : OO 부서 등 샘플 선정
M/M 예시
| 구분 | Task 1 (웹 어플리케이션 진단) |
Task 2 (무선 네트워크 진단) |
||||
| 일정 | 1W | 2W | 3W | 4W | 5W | 6W |
| PM | 0.25 | 0.25 | 0.25 | 0.25 | ||
| 선임 1 | 0.25 | 0.25 | 0.25 | 0.25 | 0.25 | 0.25 |
| 선임 2 | 0.25 | 0.25 | 0.25 | |||
| 사원 1 | - | 0.25 | 0.25 | 0.25 | 0.25 | 0.25 |
| 총 투입 | 0.75 | 1 | 1 | 0.5 | 0.5 | 0.75 |
| Kick Off | 20% | 40% | 중간보고 /교육 |
60% | 80% | 최종보고 |
정보수집단계
포트스캐닝과 같은 과정을 포함해서 대외적으로 공개되어 있는 정보 수집을 OSINT(open source intelligence)라고 한다.
정보수집은 대외적으로 공개되어 있는 정보들과
서비스가 열려있는 서비스를 대상으로 실제 집중적으로 수집하는 2가지가 있다.
위협모델링 단계
정보수집단계에서 얻은 정보를 통해 불필요한 정보들이나 취약점에 상응하는 정보들이 아닌것 들을 분류한다.
취약점 분석 단계
분류한 정보들을 통해 취약점 분석을 시작한다.
침투단계
모의해킹을 진행하면 웹만 대상을 하지 않고, 내부 서버까지 공격한다.
시스템 및 네트워크 해킹을 통해 정보를 얻기위해 내부에 들어가기 위한 단계이다.
내부침투단계
내부에 있는 중요 정보들을 외부로 가져올 수 있는지 확인하는 단계이다.
320x100