hacking study/모의 해킹 프로젝트
정보보안 스터디 - 13주차 1일 - 모의해킹 업무 체크리스트
wonder12
2023. 1. 6. 00:03
☞ 모의해킹업무 전 준비사항
| 누구에게 연락할지 담당자연락처를 알아둡니다. 담당자에게 궁금한 점을 물어봐야 합니다. |
| 노트북 반입여부를 묻습니다. 노트북을 따로 제공할 수 있기 때문입니다. 포맷을 해야하는지 필수 프로그램 세팅을 하고 가야하는지도 알아야합니다. 프로그램은 usb, 메일로 전달 합니다. |
| 근무지 위치 |
| 언제부터 어디로 처음 도착하면 될지 |
| 필수프로그램은 아래와같습니다. burp suite wireshark 평문인지 암호화되는지 알아보기 위해 사용합니다. HxD hex editor 웹쉘을 우회하여 업로드할 때 이용합니다. sublime editor SSLyze SSL 버전 점검을 위해 사용합니다. python, node.js(자바스크립트 실행) 등 interpreter(명령을 실행하는 프로그램)을 준비합니다. 자동화 스크립트코드를 작성하기 위해서 사용합니다. DBeaver SQL Viewer입니다. DB를 파일형으로 저장되어서 볼 수 있습니다. DB 계정정보를 얻었을 때 클라측으로 접속할 수 있습니다. |
| 스크립트 코드 등은 만들어서 압축해서 가지고다닙니다. |
| 주의 사항이 있을지 물어봅니다. |
투입 당일
첫날에 정확하게 잡고가야지 나중에 다른얘기가 안나오고 일잘하고 갈 수 있습니다.
| 정장을 입고가서 편한복장으로 하라고 할 때 편하게옵니다. |
| 협의사항 그전에는 세팅을 안해주기 떄문에 첫날에 들어가서 환경설정한다고 생각하고 합니다. 메신저 설치 등 세팅을하고 첫날에 담당자에게 테스트 계정/관리자 계정을 달라고 해야합니다. 또한 사이트를 달라고 합니다. 일주일은 걸릴 수 있습니다. |
| 점검 목적이 뭔지 기준은 어디에 맞춰야할지 물어봅니다. 대부분 금취분평 또는 kisa 주통기반 28개 항목에 맞춰서 보고서를 작성합니다. |
| 산출물 만들어 제출해야할 결과를 물어봅니다. 몇월 몇일까지 제출해야하는지, 보고서만 하면되는지, 다른거 해야할 게 있는지 물어봅니다. |
| 그리고 마지막주는 보고서를 제출하고 피드백을 받고 수정하고 리뷰까지 하는 날이기 때문에 일정에 차질없게 여유를 줍니다. |
| 일정 그 사이의 기간동안 몇개의 프로젝트를 맡는지, 한프로젝트당 소요되는 시간을 계산해서 하루마다 WBS일정표 > 일정과정을 세웁니다. |
| 주의해야할점 파일업로드할때 얘기 해야하는지, 게시판 작성할 때 얘기 해야하는지 물어봅니다. |
| 주의 사항이 있을지 한번 더 물어봅니다. |
☞ 모의 해킹 업무 중
| 주의사항 가장 중요한 점은 서비스에 영향을 주면 안된다는 점입니다. 테스트 서버를 따로 주는 경우가 거의 없기 때문입니다. |
| nmap, sqlmap 등 자동화 스캔 프로그램을 사용하지 않습니다. sqlmap 등을 사용할 경우에는 일단 글쓰기가 이상하게 많이 실행되서 부하가 생기고 서비스에 영향을 줍니다. 스캐너를 사용하면 더 괜찮을 것 같은데 사용해도 될까요? 물어봐야합니다. 자동화가 아닌 전문가가 안전하게 직접 봐주길 원하므로 우리를 부른 것입니다. |
| xss를 할 때도 onmouseover로 이벤트핸들러로 처리하거나 log를 이용해야 합니다. sqli를 할 때 delete insert update등은 사용자의 데이터를 수정할 수 있기 때문에 사용에 무조건 주의해야합니다. 잘못 건들였다가는 회원의 비밀번호가 모두 수정되거나 할 수 있기 대문입니다. 그리고 악의적인 목적이 아닌이상 회원가입, 회원 탈퇴, 수정은 취약점이 있어도 거의 접근을 지양합니다. sql에서 or와 주석을 사용하는 것을 지양합니다. and를 더 지향합니다. or 를 사용해서 사용자의 데이터를 불러와버리면 몇백만명의 회원자를 불러오기 때문에 서비스에 부하가 생길 가능성이 있습니다. |
| 처음부터 파일업로드 시 웹쉘 업로드하지 않습니다. 스크립트 구문을 넣어서 테스트 확인이 가능하기 때문입니다. 허락맡고 하고 |
| 그날그날 burp logger 로그 기록을 저장하여 문제생기는 것에 대비합니다. |
☞ 리뷰
| 결과 보고서 템플릿을 받아 그에 맞게 작성합니다. |
| 자잘한 결함은 신빙성을 떨어뜨립니다. |
| 일단 목표를 세워 그에 맞게 취약점을 찾아보고 까먹은 부분이 있는지 28개 항목 기준으로 체크리스트 점검합니다. |
| 회사의 권고안을 복붙합니다. |
| 총평, 결과요약에서 나의 진단, 문제점에대한 생각을 자유롭게 씁니다. 이런 문제점이 있고, 심각하게 느낄 수 있도록 시나리오, 그림자료를 활용합니다. |
| 보안담당자는 총평, 결과요약만 읽고 넘기지만 사이트 수정을 할 개발자는 상세 과정이나, 보안 권고안 파라미터가 어떻게 되서 어느부분에서 취약점이 발생하는지 기술적인 부분을 확인하여 수정합니다. |
| 버퍼오버플로우 처럼 실무에서 거의 발견되지 않아 거리가 먼 항목도 있습니다. |
