모의해킹 및 취약점 진단 Road Map

 

 

모의해킹에도 여러가지 분야가 있습니다.

 

가장 일반적으로 많은 사람들이 처음 접하게될 취약점 진단을 살펴 보겠습니다.

 

이후 레드팀 등 자신이 원하는 분야로 기술들을 하나씩 준비해 나가면 되겠습니다.

 

1. kisa 사이트에 있는 주요 정보통신 기반 시설 취약점 진단 가이드 목록을 사용한다.

https://www.kisa.or.kr/2060204/form?postSeq=12&lang_type=KO&page=1

 

2. 취약점 을 테스트할 가상 서버 및 웹사이트를 제작한다. 

 

• 가상환경 툴 : VMware 
• 가상머신 설치 OS : Cent OS 
• 가상머신 2개 : 웹서버, DB서버 
• 웹프로그램 : JSP 
• WAS(Web Application Server) : 아파치 톰캣 
• DB : Oracle 
• 개발 IDE : 이클립스 
• DB IDE : dbeaver(디비버)  (없어도 되지만 있으면 편하다)
• WS(WebServer) : 아파치 웹서버(없어도 되지만 WAF 설치 등 테스트시 필요)

 

3. 주요 정보통신 기반 시설 이하 주정통기 취약점 목록을 모두 실습한다.

 

4. 주요항목 

파일업로드, 파일다운로드, SQL 인젝션, 인증/인가 우회, XSS(크로스사이트스크립팅)

 

모두들 힘내길 바랍니다.