1) 모의해킹을 수행하는 이유
-정보 보호 관리 체계 의무화
: 전년도 매출의 100억원 이상 또는 전년도 말 기준 3개월 간의 일일 평균 이용자 수가 100만명 이상인 곳이 의무 적용 대상에 포함
2) 국제적으로 실무 사용되는 모의해킹 방법론
-PTES
사전 계약 - 정보수집 - 위협 모델링 - 취약점 분석 - 침투 - 포스트 익스플로잇 - 보고서
-OSSTMM
수행 종류
3) 웹 취약점 체크리스트 진단가이드
OWASP Testing Guide v4
주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드
전자 정부 SW 개발 운영자를 위한 소프트웨어 개발 보안 가이드
4) 최신 해킹 사고
안드로이드 악성, 드라이브 바이 방식 랜섬웨어 제품화, 가상화폐 해킹
5) 최신 동향 파악
구글알리미, 트위터
6)모의해커와 범죄자
모의해커는 DMZ 구간, 범죄자는 개인 PC 대상이 주 공격 포인트
DMZ 영역 내부 서버
인터넷 - 네트워크 - 방화벽,IDS,IPS - WEB서버 WAS - DB/로그서버
7) 버그바운티 정보 사이트
8) 모의해킹절차이해
사전 협의 단계 1 M/M
정보 수집 단계
위협 모델링 단계
구글 검색 정보, 서비스 디렉토리 정보, 스캐닝 정보, 서버 정보, 네트워크 정보
취약점 분석 단계
침투단계
내부 침투 단계
9) 실무 환경 이해
- 칼리 리눅스 : live CD 주로 리눅스 계열의 운영체제에서 사용하는 일종의 시동디스크로 한장의 CD에 운영체제를 담아 실행, 데비안 환경.
- OWASP 항목 이해
10) 취약한 테스트 환경 구축 방법
-XAMPP & 웹 소스코드
-가상환경으로 실 OS와 동일하게 구축/ 네트워크,시스템, 웹, IoT 등
-도커 컨테이너 환경 설치/ 리눅스 기반
-vmware(ESXI)서버에 구축하는 방법
'Web hacking > 개념 정리 & 심화' 카테고리의 다른 글
| [-] Daily - Host에 ..값 삽입, base64 값 변조 등 (0) | 2022.04.13 |
|---|---|
| [#5] webdav, heartbleed 취약점 (0) | 2022.03.04 |
| [#5] Burp Suite 살펴보기 (0) | 2022.03.04 |
| [#1] 도커 환경 설정과 구축 실습 (0) | 2022.02.07 |
| [#1] kali 기본 명령어 (0) | 2022.02.06 |
