티스토리 뷰

취약점 진단



1. 체크리스트 기준으로 항목별 취약점 점검
2. 위협이 있을 수 있는 취약점을 식별하고 위험의 가능성을 확인하는 수준

SQL injection → SQL injection에 영향을 받을 수 있는 취약점 구조 확인 → '(싱글쿼터) 를 이용한 에러 페이지 유발


모의해킹 



1. 대상 시스템의 취약점 정보를 수집 ( 이 단계가 전제 되어야 한다. )
2. 취약점 정보를 바탕으로 위협 모델링 ( 시나리오 기반 )
3. 방법론을 구상하고 정보탈취, 정보 변경, 시스템 파괴 등을 목적으로 해당 목적이 달성 까지 진행

중요 시스템의 정보를 탈취,조작, 파괴 등이 가능한지를 알아내는 과정이 취약점 진단이라면, 
모의해킹은 정보 탈취, 조작, 파괴 등이 실제로 일어날 수 있다는것을 확인하고 수행하는 과정이라고 생각하면 된다.

SQL injection → SQL injection에 영향을 받을 수 있는 취약점 구조 확인 → '(싱글쿼터) 를 이용한 에러 페이지 유발 
→SQL 구분 작성 → DB 정보 유출, 조작, 삭제 등 수행


 

정리 



특정 행위로 DB에러 페이지를 발견해 취약점 유무를 판단 했다면 취약점 진단까지 수행한것,
취약점 유무를 판단해 이를 이용해 DB정보 유출, 변조, 삭제 등을 수행 했다면 모의해킹을 수행 했다고 볼 수 있다.