웹 모의해킹

모의해킹(침투 테스트)

: 악의적인 목적이 아닌 기업으로부터 인가받은 전문가가 시나리오를 기반으로 발견한 취약점을 실제 이용하여 시스템에 침투하거나 정보를 유출하는 행위를 시뮬레이션하는 과정으로, 실제 공격과 유사한 방식으로 테스트를 수행한다.

모의해킹 수행 표준(PTES)

: Penetration Testing Execution Standard로, 모의해킹을 체계화된 방법으로 수행하기 위해 만든 7단계로 구성된 표준이다.

1. 대상 선정(Pre-Engagement Interactions)
   : 모의해킹 수행 전에 고객과 진단 대상을 협의하는 과정

2. 정보 수집(Intelligence Gathering)
   : 모의해킹을 수행하기 위한 진단 대상의 최대한 많은 정보를 수집

3. 위협 모델링(Threat Modeling)
   : 조직의 내/외부적인 위협을 목록화

4. 취약점 분석(Vulnerability Analysis)
   : 내부 시스템 침투를 수행하기 위해 자체 취약점을 분석하는 과정

5. 공격(Exploitation)
   : 취약점을 이용해 내부 시스템 침투가 가능하다는 것을 증명, 공격 대상 시스템 침투 공격

6. 후속 공격(Post-Exploitation)
   : 공격(exploit)이 성공한 후 수행하는 공격, 시스템 점령 후 공격자가 원하는 정보를 획득하려고 시도하는 과정

7. 결과 보고(Reporting)
   : 최종 보고서 작성 및 대응책 제시

웹 취약점 진단과의 차이

: 웹 취약점 진단은 단순히 취약점을 식별하는 수준으로 잠재적인 보안 문제를 찾기 위해 서비스와 시스템을 검토하는 과정이며, 모의해킹은 그러한 취약점에 실제로 침투해 권한 상승을 수행하고 장악을 유지하는 과정을 통해 보안문제점을 보여주는 것이다.

출처
http://wiki.hash.kr/index.php/%EB%AA%A8%EC%9D%98%ED%95%B4%ED%82%B9#cite_note-2
https://m.blog.naver.com/rekt77/221382269764
https://wikidocs.net/91350