본문 바로가기

모의해킹/기본

모의해킹 - (3) 모의해킹 절차 이해 모의해킹 - (3) 모의해킹 절차 이해 모의해킹은 미래의 침해사고를 대응하는 것인데 절차대로 수행하지 않고 중간진단을 놓치게 되면 반드시 hole이 발생한다. (1) 사전협의단계- 고객들을 만나서 외부 모의해킹 or 내부 모의해킹으로 결정- 해킹의 대상이 될 URL을 선정- "수행계획서"를 작성 (2) 정보수집단계- 구글 검색 정보- 서비스 디렉터리 정보- 스캐닝 정보- 서버 정보- 네트워크 정보위 정보들을 수집. (3) 위협모델링 단계- 위 수집된 정보들을 바탕으로 보안위협이 되는 정보들만 분류. (4) 취약점 분석 단계- 웹 해킹, 모바일 해킹등 공격 진행- 많은 취약점들을 경험. (5) 침투 단계 (6) 내부침투단계- 중요한 정보를 취득
모의해킹 - (2) 버그헌팅 프로그램 이해 모의해킹 - (2) 버그헌팅 프로그램 이해 버그헌팅 : 서비스의 버그를 찾고 제보하여 수익금을 얻는 행위 국내 버그헌팅 프로그램- 한국인터넷진흥원과 협업하여 소수의 기업에서 참여중- 포상 프로그램 범위 : '소프트웨어'에 대한 보안 취약점으로 최신버전의 소프트웨어 영향을 줄 수 있는 신규 보안취약점. 한국인터넷 진흥원에서 중재자역할을 수행. https://hackerone.com/ 에서 버그 헌팅
모의해킹( Penetration + Test, Pentest) -(1) 모의해킹( Penetration + Test, Pentest)*Penetration : 침투, 침입, 침해 해커(=크래커)와 동일한 환경과 조건, hacking skill을 가지고 모의침투테스트를 실시하여 실제로 시스템의 취약성을 통해 시스템이 어떤 방식으로 침해될 수 있는 지 여부를 점검해보는 단계. 모의해킹의 대상은?IT인프라, 데이터베이스, 서버, IoT 1) IoTIoT는 통신 속도와 밀접한 관계가 있다. 4G-> 5G5G의 실시간성이 전제가 되어야 사물간 통신이 의미가 있어 짐. 2) 비대면거래(인터넷 은행, 핀테크)의 등장카카오페이, 카카오뱅크, 페이코 비대면 거래를 하는 과정에서 사용자의 개인정보가 안전하게 보관이 되어있는가?중요한 정보(신용카드, 신분등)를 사진을 찍어 앱에 업로드하게 되는..