18 & 19주차 : web hacking & Report

DATE : 2024/3/13

모의해킹 결과 보고서 작성

모의해킹 프로젝트를 진행하게 되면 발견된 취약점에 대해 정리 및 보고하기 위해 보고서를 작성하게 된다.

이때 보고서에는 어떤 내용이 포함되며 각 파트를 작성하는 목적(?)이 무엇인지 간단히 정리해볼까 한다.

1_개요

개요에는 해당 프로젝트를 진행하는 이유와 일정, 대상, 인력 등의 정보를 작성하는 부분이다.

2_요약

요약에는 프로젝트 진행 결과로 발견된 취약점이 무엇이 있는 지 리스트처럼 쭉 정리하는 부분과

어떤 취약점이 있으니 이렇게 고쳐주세요! 하는 총평이 들어간다.

이 파트는 보고서를 전달 받는 담당자가 읽어보는 파트라고 생각하면 되는데 그렇다 보니 이 부분을 통해

어디에 어떤 문제가 있고, 이 취약점을 통해 이런 저런 시나리오로 공격을 받을 수 있으며 그래서 이렇게

고쳐야 하는 구나! 가 전달될 수 있도록 잘~ 정리해야 하는 파트다!

3_취약점 상세

이제부터는 프로젝트를 진행하며 발견한 취약점에 관해 세부적인 내용을 서술하는 파트이다.

앞서 17주차에 연습했던 증적 사진 관리를 잘 해둔다면 이 파트를 작성할 때 정말 편리하다.

취약점에 대해 서술할 때는 취약점이 발견된 위치가 어떻게 되는지, 해당 취약점에 대한 설명 내용과 함께

증적 사진을 이용하여 취약점이 발생하게 되는 과정의 단계를 순차적으로(단계 별로) 적어주면 된다.

또한, 취약점 상세 내용은 각 취약점에 대한 내용을 작성한 후 마지막에 보안 권고 내용을 적어주는데

보안 권고 파트가 따로 있는데 왜 또 적어야 하지? 싶을 수 있지만 취약점 상세 내용 파트는 취약점 내용을

파악해 이를 개선해야 하는 개발자들이 읽어보는 파트라 생각하고 작성해줘야 한다.

보고서에 한 파트를 차지하는 보안 권고안은 요약 파트와 같이 담당자가 읽어보고 이렇게

개선하면 되겠다고 이해할 수 있도록 작성하는 파트라면

취약점 상세 내용 마지막에 적어주는 권고안은

직접 취약점을 고쳐야 하는 사람에게 취약점을 어떻게 고치면 될지 안내해주는 부분으로 보면 된다.

4_보안 권고 사항

마지막으로 보안 권고안 파트에서는 프로젝트를 진행하여 찾은 각 취약점에 대해

"이렇게 저렇게 하십시오!" 라고 담당자에게 전달할 내용을 작성한다.

이때 각 취약점에 대해 서술할 때는 취약점 이름. 상세 내용, 대응 방안과 같은 내용이 포함된다.

이렇게 해서 전반적으로 모의해킹 결과 보고서에 들어가는 내용에 대해 알아보았다.

보고서는 말 그대로 프로젝트가 얼마나 잘 수행 되었는지 보여주는 결과물이기 때문에

읽는 사람이 이해하기 쉽고 전체적인 구조가 눈에 잘 들어오도록 깔끔하게 작성하는 게 중요하다!

<homework>

17주차에 캡쳐한 사진으로 결과 보고서 작성하기

18주차에 주어지는 사이트 모의 해킹 후 보고서 작성하기

Last updated