○ 사전협의단계(Pre_Engagment)
(담당자와 프로젝트 진행 범위 결정.)
·수행계획서 작성 완료.
○ 정보수집단계(Intelligence Gathering)
(점검할 대상으로 외부에 노출된 정보 수집)
·정보수집단계에서 실수하면 침해사고 대응에 가장 큰 문제로 이어진다.
·대외적으로 공개되어있는 정보수집이라는 OSINT(오픈소스인텔리젼스)
○ 위협모델링 단계(Threat Modeling)
(수집한 정보를 가지고 보안적으로 취약한 부분을 모델링)
·어떤 공격을 할지 정의하는 단계
○ 취약점 분석 단계(Vulnerability)
(항목에 따라 어떤 취약점을 탐지할 수 있는지 분석)
·웹해킹 등 실질적으로 진행단계(취약점을 찾아내는 단계)
○ 침투단계(Exploitation)
(시나리오 기반으로 침투 여부 확인)
·취약점을 이용해 침투를 하여 내부에 접근하는 단계
○ 내부침투단계(Post Exploitation)
(1차, 2차 등 시스템 내부 침투 여부 확인)
·내부 침투후에 민감한 정보(회원정보같은 DB정보들)를 외부로 가져오게 되는 단계
·시스템에 에러를 낼 수 있는 공격은 주의해야한다.
○ 보고서(Reporting)
(도출된 취약점 위협평가 및 영향도 반영하여 결과 보고서 작성)
'모의해킹' 카테고리의 다른 글
| TCP와 UDP 특징 정리 (0) | 2018.11.23 |
|---|---|
| TCP/IP와 OSI Seven Layer 한방정리 (0) | 2018.11.23 |
| 구글해킹으로 c99.php 웹쉘 찾기 (0) | 2018.05.26 |
| 모의해킹이란? (0) | 2018.05.16 |