프로젝트 1주차 (증적 사진, 모의해킹 주의사항)

 증적 사진

프로젝트 1주 차에는 증적 사진을 수집하는 방법을 배웠습니다.

 

증적 사진 폴더를 관리하는 이유

모의 해킹을 수행한 후 보고서를 작성하기 위해 각 취약점 별로 점검 과정을 사진과 글로 남겨둡니다.

 

증적 사진에 포함되는 정보

증적 사진은 각 취약점 별로 아래 내용을 포함해야 합니다.

1. 취약점 발생 위치

2. 취약한 파라미터

3. 취약점 설명

4. 각 과정을 담은 사진

 

 모의해킹 시 주의사항

모의해킹을 수행할 때 고객사에 피해를 주지 않기 위한 주의사항입니다.

 

웹쉘

파일 업로드 취약점이 발견되었다면 담당자에게 문의 후 담당자가 원할 경우에만 웹쉘을 업로드하여 테스트합니다.

 

웹쉘을 테스트할 때 주의사항

1. 웹쉘 파일의 이름을 알아내기 힘들게 합니다. ex) webshell.php X => xptmxmdyddnpqtnpf.php O

2. 웹쉘에 비밀번호를 설정합니다.=> 혹시라도 웹쉘에 누군가 접근하더라도 비밀번호를 알아야만 사용할 수 있도록 합니다.

3. 테스트가 끝나면 당일 바로 삭제합니다.

=> 웹쉘을 업로드한 당일 바로 삭제합니다.

4. 담당자에게 삭제가 됐는지 확인 요청을 합니다.

=> 다음날 본인이 확인까지 해야 합니다.

 

서비스 장애

실제 서비스 중인 고객사의 사이트에 서비스 장애가 일어나서는 안 됩니다.

1. 자동화 툴을 사용 X

2. SQL Injection을 테스트할 때 주석 남발 X 

3. 과도한 요청을 반복 X

 

게시판 테스트

실제 서비스 중인 게시판을 테스트할 때 게시글을 이질적으로 생성하면 안 됩니다.

ex) test입니다, test 등

1. 게시글 제목은 점검 중임을 알립니다.

2. 스크립트를 삽입할 경우 POC 코드를 삽입합니다. ex) alert(1)

3. 게시글 생성을 최소화하여 테스트합니다.