17주차 : 증적 사진 관리 & web hacking

DATE: 2024/3/9

증적 사진 관리

구성원들이 직접 개발한 사이트를 공부 및 연구 목적으로만 모의 해킹 해보는 프로젝트를 진행

취약점 점검 기준 : 주통기반

모의 해킹을 진행하는 경우 어떤 시나리오로 공격이 이루어질 수 있고,

어떤 경로를 통해 취약점이 발견되었는지 서술하는 과정에서 더 나은 이해를 위해 사진이 필요하다.

이때 보고서를 편리하게 작성하기 위해서 증적 사진을 관리하는 방법에 대해 간단히 다뤄보고자 한다.

1_모의 해킹 대상 폴더 생성

directory name : joyfulMoment (가상으로 정한 이름임)

증적 사진 관리를 위해 처음으로 생성할 폴더는 모의 해킹 대상인 사이트 이름에서 따온다.

말 그대로 joyfulMoment라는 사이트가 있다면

이 사이트의 이름을 따서 폴더 이름으로 사용하겠다는 의미이다.

2_취약점 별 폴더 생성

만약 모의 해킹 대상 사이트에서 취약점이 발견되었다면 해당 취약점의 종류대로 폴더를 생성한다.

joyfulMoment
> SQL injection
> XSS 
> CSRF
> 자동화 공격
...

3_취약점 경로 폴더 생성

SQL injection 취약점을 찾았다고 했을 때, 이 취약점이 발견된 경로가 딱 한 군데만 있는 건 아닐 것이다.

따라서 어느 위치에서 SQL injection 취약점을 찾았다! 라는 걸 쉽게 파악하기 위해

joyfulMoment
> SQL injection
>> login 
>> board(search bar)

동일한 취약점이라고 하더라도 각 취약점이 발견된 위치대로 분리해 폴더를 만들어주면

딱 봤을 때 직관적으로 파악하기 쉬워진다.

4_취약점 설명 파일 & 증거 사진

각 취약점과 발견 경로를 토대로 폴더를 만들어줬다면 이젠 해당 경로에서 발견한 취약점에 관한

간단한 설명 파일과 사진을 저장하면 된다.

취약점 설명 파일에는 어떤 취약점이 발견되었는지, 발생 경로와 발생 위치를 적어준다.

사진은 취약점이 존재합니다! 라는 걸 보여줄 수 있는 일련의 과정을 단계 별로 나눠서 캡쳐하면 된다.

보고서에 사진을 첨부할 때는 보고서 글씨 크기와 비슷한 크기로

사진 속 글씨를 잘 읽을 수 있는 수준으로 조정해주는 게 좋고 테두리를 설정하여보고서 바탕과 확

실히 구분되도록 표시해주는 게 좋다!

그러기 위해서 브라우저의 일부 영역을 캡쳐하는 게 아닌,

화면의 전체 영역을 캡쳐하여 필요에 따라 크기와 영역을 조절하는 게 적절하다고 할 수 있다.

joyfulMoment
> SQL injection
>> login
>>> 취약점 설명 txt
>>> login_1.png ~ login_n.png

>> board page
>>> 취약점 설명 txt
>>> board_1.png ~ board_n.png

> XSS
>> Stored XSS
>>> board write
>>>> 취약점 설명 txt 
>>>> boardWrite_1.png ~ boardWrite_n.png

>>> comment
>>>> 취약점 설명 txt 
>>>> comment_1.png ~ comment_n.png

>> Reflected XSS 
>>> board search
>>>> 취약점 설명 txt 
>>>> boardSearch_1.png ~ boardSearch_n.png
...