본문 바로가기

보안과정/정보수집3

메타스플로잇 추후 워드문서로 올려야겠다 2017. 11. 8.
정보수집 용어 정보(Information)? > 의미가 있는 데이터(DATA). 정보 검색? > 자신이 원하는 정보(자료)를 여러가지 검색 도구를 이용사여 찾아내어 활용하는 과정. 인터넷 검색엔진(Search Engine)? > 1993년 이후 비약적인 발전. > 전문인 뿐만 아니라 일반인에게도 친숙한 정보 제공 수단. 정보 수집 과정의 종류 > 검색 엔진을 사용하는 경우(EX: 구글링) >> 인터넷(정보보안 사이트)를 통해 정보를 확인하는 방법(EX: exploit-db.com) >> 구글 검색을 통해 정보를 확인하는 방법(EX: 구글해킹(GHDB)) > DNS 서버를 사용하는 경우(EX: dnsenum) > 사회공학적인 기법(Social Engineering)을 사용하는 경우(EX: SET) > 스캐너를 사용.. 2017. 11. 4.
시스템/모의해킹 진단 범위와 절차 정보수집 > 취약점 점검 > 모의진단/해킹 > 보고서 시스템 취약점 진단 범위 1. 서버 취약점 점검 > 자체 개발한 점검 툴 활용(시스템에 영향 거의 없음) > 취약점 및 설정 상의 오류 점검 > 각 OS 별 특화된 점검 > 보안 전문가에 의한 분석 2. 네트워크 취약점 점검 > 자체 개발한 체크리스트 사용(네트워크 장비에 영향 없음) > 각 네트워크 장비결 특화된 점검 > False-Positive 최소화 > 보안전분가에 의한 분석 3. 정보보호 시스템 취약점 점검 > 자체 개발한 체크리스트 활용 > 취약점 및 설정 상의 오류 점검 > 각 기능별/장비별 특화된 점검 > 보안 정책 점검 > 보안 전문가의 의한 분석 4. WAS/DB 취약점 점검 > 자체 개발한 체크리스트 사용(시스템에 영향 거의 없음).. 2017. 11. 4.