목차

1. 모의해킹목적 3

2. 모의해킹절차 3

3. 대상 선정 4

4. 수행 인력 4

5. 주요진단항목 5

6. 상세진단결과 6
1)Xss 취약점 6
2)SQL Injection 취약점 8
3)데이터 암호화/ 주요정보 노출 10
4)취약한 ID/Pw 11
5)디렉토리 노출 13
6)부적절한 에러 페이지 14
7)cookie 취약점 16
8)URL 변조 및 강제접속 18
9)CSRF취약점 20
10)파일 up/down 로드 취약점 22

7. 모의해킹 진단요약 25

8. 10개 보안항목 적용 분석 (차트) 26

9. 사이트 총평 27
1)진단결과 총평 27
2)취약성 평가 점수 산정기준 27

본문내용

1. 모의해킹 목적
모의해킹의 목적은 DMZ 구간에 위치하고 있는 중요정보시스템을 대상으로 "외부 모의해킹"을 실시하여 기술적 보안 취약성 진단을 실시하여 효과적인 개선방안을 마련함으로써 정보 시스템들의 보안성과 안전성을 확보 하는데 있다. 이를 위하여 최고의 보안 기술자들 로 구성된 모의 해킹 전담반에 의한 모의해킹을 수행하여 보안점검 도구나 기타 보안점검 서비스들에서 점검 될 수 없는 예외 상황까지 종합적으로 점검하여 체계적이며 완전한 보안구축을 목적으로 한다.

2. 모의해킹 절차
모의 침투 테스트는 다음과 같은 과정으로 이루어진다. 선정된 대상에 대하여 알려진 취약점을 수집한 후 모의 침투테스트를 하게 된다. 해커의 수작업을 통한 알려지지 않거나 특수한 대상서버의 취약한 상태까지 점검하게 된다.

<중 략>

7. 모의해킹 진단 요약
-192.168.10.57 = asp
-192.168.10.97/demo = jsp
(두개 Site에 대한, 10개 항목 공격시 취약점)

1) XSS 취약점 : 스크립트를 삽입하여 사용자의 쿠키값(개인정보)을 빼오거나 사용자가 원하지 않는 사이트로 이동 및 백도어 설치가 가능

2) SQL Injection 취약점 : 악의적인 공격자가 삽입한 데이터가 명령어나 질의문의 일부분에 대해 인터프리터는 의도하지 않은 명령어를 실행하거나 데이터를 변경할 수 있다.

3) 데이터 암호화/주요정보 노출 : 패스워드나 신용카드 정보와 같이 민감한 정보를 암호화 하여 저장하지 않거나 부적절한 암호화 알고리즘을 사용할 때 신원 도용이나 신용카드 사기와 같은 범죄가 발생될 수 있다.

4) 취약한 ID/Pw : ID와 Password가 동일하거나 간단한 Password로 설정했을 경우 해킹 툴과 같은 프로그램을 통해 계정 정보가 악용될 수 있다.

5) 디렉토리 노출 : URL에 admin이나 upload를 입력하여 디렉토리 인덱싱이 되었을 때 공격자가 원하는 정보를 얻을 수 있다.

참고 자료

없음