[13주차] 모의해킹 프로젝트 가이드

* Reflected XSS 찾을 때

1) 파라미터가 있는 도메인 검사

2) 사용자의 입력이 응답에 나오면Repeater로 전달해서 확인해보기

3) HTML 특수문자<' "> 중 사용 가능한 것 확인

4) 가능한 태그 삽입해보기

5) Change request method → GET 방식으로도 전달해보기

 

* SQL Injection

prepare statement가 안 먹히는 정렬 부분에서도 찾아보기

> order by $sort $ord

$ord = , (select 'test' union select 'normaltic' where (1=1)) 참이므로 union이 실행되서 'test,'normaltic' 배열로 전달 → 논리적 에러

$ord = , (select 'test' union select 'normaltic' where (1=2)) 거짓이므로 select 'test'만 출력 → 에러 없이 데이터 출력

이런 식으로 사용할수도 있다

case when (조건) then (참인 경우) else (거짓인 경우) end

→ case when (1=1) then (select '1') else (select '1' union select '2') end

 

** 모의해킹 프로젝트

> 실제 모의해킹 프로젝트

> 협의, 모의해킹, 리뷰 + 이행점검 (기존 취약점이 잘 고쳐졌는지 확인)

+ 보고서

 

** 모의해킹 프로젝트 업무 Process

▷ 협의: 모의해킹 하기 전에 하는 작업

[프로젝트 투입 전]

1. 고객사 컨택 포인트 & PM 연락처 수령

 

2. 투입 전 체크리스트

> 고객사 위치

> 출퇴근 시간

> 투입되는 날 몇시까지 와야하는지

> 노트북 반입 여부

> 노트북 가능할 경우

① 포맷? → 그러면 프로그램 반입은 어떻게 해야하는지,

② 프로그램 세팅해갈지

 

3. 반입 툴 리스트 (Web hacking)

> Burp Sutie : Web Proxy Tool

> Wireshark : Network Packet Dump (네트워크에서 데이터가 평문으로 오가는지 확인)

> Sub Lime Text : Text Editor

> HxD : Hex Editor

> SSLyzer : SSL 점검

> Python

> SQL Viewer 

 

[프로젝트 투입 첫날]

1. 복장 - 정장

 

2. 모의해킹 사전 협의

> 대상 수령 (엑셀)

> 대상에 부여된 테스트 계정 발급/관리자 계정 발급

> 점검 기준 : 금취분평 or 주통기반 or 자체 기준 → 하던대로 해달라고 하면 지난 결과 보고서 점검기준 따르기

> 산출물 :  결과 보고서만 내면 되는지

> 일정

→ 웹 사이트 1개 당 (domain 하나) : 3일

→ 모바일 앱 1개당 : 5일

> 주의해야하는 점 물어보기

 

3. 모의해킹 주의해야할 점

▷ 가용성

→ SQL 질의문 중 Update, Delete, Insert와 같이 데이터를 변경하는 질의문을 사용하는 서비스에서 주석 사용 절대 금물

→ 스캐너 X (취약점 자동 발견 스캐너). 직접 코드 짜서 자동화 하는 것은 괜찮다

→ File Upload 시 Web Shell 업로드 금지, <?php echo "Hello"; ?> 이런 걸로 증명

→ File Upload 테스트 시 업로드한 파일 이름, 경로 기록해둘 것

→ Burp Log 기능 활성화

→ 다른 이용자 데이터 변경 X

→ 누구나 보는 곳에서 XSS는 onmouseover 같은 이벤트 핸들러 혹은 console.log 사용

 

** 결과 보고서

- 제목에는 페이지 번호 안 쓰임

- 같은 레벨의 소제목이면 글씨 크기 똑같이 하기

- 사진 폰트 크기랑 보고서 폰트 크기 비슷하게 설정

- 사진 아래 caption 입력

- 내용이 애매하게 잘리면 Ctrl+Enter로 다음 페이지로 넘기기

 

※ 캡처 사진 (증적 사진 파일)

* 대상 폴더

 A회사 모의해킹

ㄴ 해킹 대상 이름 1

   ㄴ 데이터 평문전송

   ㄴ XSS

   ㄴ File Upload

ㄴ 해킹 대상 이름 2

...

이런 식으로 폴더를 만들어서 사진 저장 → 보고서 작성

대상 폴더 외에 똑같은 폴더를 복사해서 만든다 (*증적 사진 파일 / * 보고서용 사진 파일)

보고서용 사진 파일에서 캡처사진 편집한다

 

▷ 리뷰

> 보고서에 이거 진짜 공격 된다는 걸 보여줘야한다 → 시간 있으면 데이터 추출해보고 시나리오

> 억지부리면안됨

> "기준이 그래서 그래요.." 하지 말기, 취약점이 어떤 공격으로 연계될 수 있는지 설명할 수 있어야한다

> 어떻게 고칠지

 

* 점검 기준

> 금취분평 (금융 취약점 분석 평가) → 금융보안원

> 주통기반 (주요 통신시설 기반 취약점 기준) → KISA

기준에 맞춰서 모의해킹