협의

2MM ⇒ 프로젝트 1개월 : 2명

업무 종류

• 컨설팅 업무 ISMS, ISMS-P 인증을 받기 위해 관리 진단 : 개인정보보호법, 정보보호법
  
• 모의해킹 업무 ISMS, ISMS-P 인증을 받기 위해 기술 진단 테스트
  
• 인프라 업무 ISMS, ISMS-P 인증을 받기 위해 서버, 네트워크 장비 등을 쉘 스크립트, 배치 파일 활용해 진단 테스트
  

[ 프로젝트 투입 전 ]

💡 어떤 담당자에게 연락하면 되는지 파악하기

1. 고객사 위치 파악
2. 고객사마다 출퇴근 시간이 다르기에 시간 파악
3. 노트북 반입 여부 (포맷 후 반입하는게 윈칙이기 때문)

   1. 반입 가능하다면 프로젝트에 필요한 모의해킹 툴은 설치해 가는지 파악

      • 대표 도구 Burp Suite, Wireshark, TextEditor (Vscode, SubrimeText), Hxd, SSLyzer (SSL 취약점 확인), Python, SQL Viewer (ex. DBeaver), Word, Excel 캡처 프로그램(픽픽)
        

   2. 설치해 오지 말라하면 툴은 어떻게 반입할까?

      압축해서 담당자한테 메일 발송 또는 외장 하드에 넣어서 반입

4. 첫 날 복장은 어떻게 할 지 여쭤볼 것

[ 프로젝트 투입 첫 날 ]

1. 대상 수령 ⇒ 1명 당 웹 사이트(도메인) 1개를 평균 3일 분석한다.
2. 대상 접속 계정 ⇒ 대상 당 접속 파악 / 테스트 계정 필요하면 생성 요구
3. 점검 기준 ⇒ 주통기반 / 금취분평
4. 산출물 ⇒ 결과 보고서 + 가끔 취약점 요약 PPT를 요구하기도 함
5. 주의할 점 물어보기.
6. 모의해킹 진행
   1. 서비스 영향이 가지 않도록 ⇒ 스캐너 X
   2. 웹 사이트 파악 : 도메인
      1. 서비스 분석 - 로그인 기능, 게시판, 댓글, 프로필 올리기, 관리자 편지 보내기 등
      2. 기능 별 시나리오 기획
         1. Ex. 로그인 기능 ⇒ 로그인 우회, 세션 탈취, 키로거 삽입 등
      3. 공격 시도 ⇒ 주통기반 / 금취분평에 맞게 취약점 매핑
      4. 누락된 점검 항목 체크
   3. 증적 사진 관리 ⇒ 증적 폴더는 건드리지 않고 보고서용 폴더를 만들어 사진 수정
      1. 기능마다 취약점_정보.txt 생성 해 취약점 URL, 파라미터, POC 작성
      2. 대상 별 폴더 생성 Ex. 공식 홈페이지 / 교육시스템 등
      3. 공식홈페이지/XSS/게시판 검색/1게시판클릭, 2게시글 수정 클릭
      4. 공식홈페이지/XSS/게시판 글쓰기/
7. 보고서 작성

   1. 목차 업데이트 단축키

      ctrl + a ⇒ 필드 업데이트 ⇒ 목차 전체

   2. 모의해킹 결과

      총평을 핵심만 간추려서 자세하게 작성할 것.

   3. 취약점 상세 내용을 작성할 때 공격 양상이 같다면 대표 1건 작성.

   4. XSS 같은 경우 stored, reflected, dom 나눠 작성

   5. 인가 같은 경우 케이스 별 작성

   6. 취약점 상세 내용의 보안 권고안은 기능 별 권고안 작성

   7. 보안 권고안 목차는 보편적인 보안 조치 방법 + 시큐어 코딩 가이드

   8. 그림 글자와 폰트 크기는 비슷하게 / 그림 테두리 넣기

8. 리뷰 (발표. )