PowerPoint 프레젠테이션

Similar documents

암호내지

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

SBR-100S User Manual

2015 년 SW 개발보안교육과정안내


untitled

Microsoft Word - src.doc

슬라이드 1

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

제목 레이아웃

Windows 8에서 BioStar 1 설치하기

untitled

5th-KOR-SANGFOR NGAF(CC)

AhnLab_template

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

PowerPoint 프레젠테이션

기본소득문답2

2018 년 SW 개발보안교육과정안내 행정안전부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안일반과정 교육대상 : 전

untitled

PowerPoint Template

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

[ 목차 ]

온라인 보안 컨설팅 제안

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

슬라이드 1

슬라이드 1

PowerPoint 프레젠테이션

Inside Android Applications

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

SAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

Smart Home Hacking in Real World

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

TGDPX white paper

98 자료 개발 집필 지침

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

Microsoft PowerPoint - 6.pptx


201402CS1P2-1 패스워드크래킹 2014 학년도 2 학기 프로젝트특강보고서 프로젝트명 : 패스워드크래킹 ( PASSWORD CRACKING ) 2014 년 11 월 28 일 지도교수 : 한성훈교수님 학과 : 컴퓨터공학과 1 팀제출자 : 역할성명학번 조장 윤지영


Microsoft Word FCKeditor.doc

#WI DNS DDoS 공격악성코드분석

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

mytalk

슬라이드 1

Microsoft PowerPoint - chap01-C언어개요.pptx

View Licenses and Services (customer)

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

PowerPoint 프레젠테이션

게시판 스팸 실시간 차단 시스템

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

*2008년1월호진짜

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

레이아웃 1

RHEV 2.2 인증서 만료 확인 및 갱신

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

Cloud Friendly System Architecture

2014학년도 수시 면접 문항

Observational Determinism for Concurrent Program Security

[Brochure] KOR_TunA

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

wtu05_ÃÖÁ¾

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

Microsoft PowerPoint - MonthlyInsighT-2018_9월%20v1[1]

Secure Programming Lecture1 : Introduction

ActFax 4.31 Local Privilege Escalation Exploit

Power Point Templates

PowerPoint 프레젠테이션

ICT EXPERT INTERVIEW ITS/ ICT? 차량과 인프라 간 통신(V2I) Nomadic 단말 통신(V2P) 차량 간 통신(V2V) IVN IVN [ 1] ITS/ ICT TTA Journal Vol.160 l 9

ISP and CodeVisionAVR C Compiler.hwp

<312E20C0AFC0CFC4B3B5E55F C0FCC0DAB1E2C6C720B1B8B8C5BBE7BEE7BCAD2E687770>

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

특징 찾아보기 열쇠 없이 문을 열 수 있어요! 비밀번호 및 RF카드로도 문을 열 수 있습니다. 또한 비밀번호가 외부인에게 알려질 위험에 대비, 통제번호까지 입력해 둘 수 있어 더욱 안심하고 사용할 수 있습니다. 나만의 비밀번호 및 RF카드를 가질 수 있어요! 다수의 가

Microsoft Word - À©µµ¿ì 2000 DNS º¸¾È ¹æ¹ý.doc

<C0CFC1A4BFDC28C0DBBEF7C1DF292E687770>

USC HIPAA AUTHORIZATION FOR

2019년CHAMP교육과정 브로셔_최종_out.indd

문서의 제목 나눔고딕B, 54pt

책소개 NCS( 국가직무능력표준 ) 기반직무수행능력평가교재! 이책은 2015년제정된국가직무능력표준 (NCS:National Competency Standards) 기반채용흐름은 2016년에이르러대부분의공공기관으로확산되어향후직무능력에기반한채용제도가확산되고는추세이며, 20

웹서버보안취약점대응및조치 교육사이버안전센터

PowerPoint 프레젠테이션

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

범정부서비스참조모형 2.0 (Service Reference Model 2.0)

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

2007 상반기 실적회의 - DRM Extension

PowerPoint 프레젠테이션

consulting

SIGIL 완벽입문

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

Transcription:

QA 로살펴보는모의해킹 ( 기술적진단포함 ) 업무 진짜우리가궁금한것은? 같이고민을해봅시다.

발표자소개

감사하게너무나많은질문을! 질문 70 개를받았습니다. 그중에서제일중요한것만말해볼께요. 1. 모의해킹하는분들의일을할수있는.. 평균연령은어느정도인가요?.. 2. 이론과실습물론모두중요하겠지만, 둘중어느곳에비중을두고공부를하면될까요?. 3. 모의해킹프로젝트진행시, 고객사요구사항을도출하고업무협의를하기위해서는커뮤니케이션기술이상당히중요한것같습니다. 이때효율적으로처리하기위한방법이있을까요? 4. 분석해야할대상이상당히많지만부족한일정을제시했는데, 담당자가비전공자라대화가되지않을때, 분석가입장에서설득할수있는방법이있을까요? 5. 모의해킹실행시. 개인으로일을하나요?? 팀으로할때는주로어떤식으로진행을해야수월하고효과적으로결과를얻을수있나요?? 6. 한번해보는게중요할까요? 나만의가이드를만드는게중요할까요..??? 7. 보안분야에서는한가지분야만을깊게파고오랫동안경력을쌓는것은경쟁력이없는건가요? 8. 모의해커전문가에서경력을쌓아모의해킹컨설턴트로전향을하려면어떤추가적인노력이필요하나요? (ex. 경영공부를따로해야한다, 기술컨선턴트는 OOOOO 해야한다, 관리컨선턴트를하려면 OOOOO 해야한다 ) 9. 모의해킹전문가는고객사에파견후그곳에서프로젝트형식으로진행이된다고알고있는데한번진행되는프로젝트는보통얼마기간동안하면그동안주야간교대근무같이하루종일투입되나요? 10. 모의해킹전문가의해외취업에대해서는어떻게생각하시나요? 국내시장과해외시장과비교해서어느정도전망이있고어느정도의리스크가있는지알고싶습니다! 11. 보안쪽으로나가는신입분들중대부분이관제로시작하는데관제로시작한후모의해킹컨설턴트로전향할수있는지한다면얼마정도의경력이필요한지가궁금합니다. 12. 컨설턴트중에는관리컨설턴트와기술컨설턴트분들이존재하는것으로알고있는데둘사이의연관성은얼마나되는지만일컨설턴트로서시작을한다면기술과관리중어떤것을추천하시는지가궁금합니다!! 13. 모의해킹일을하면서점점경력이쌓여가고, 후에는 PM 의직책까지도달할텐데.. PM 의업무가모의해킹도모의해킹이지만.. 프로젝트매니저라는직책에서필요한자질, 니키님이그동안의경험에서느겼던.. ' 나는 PM 은 000 했으면좋겠다 ' 라고정의해주셨으면좋겠습니다 ^^ 14. 좁은관점이아닌세계적인관점에서모의해킹이라는분야가세계보안분야에서어느정도의입지와전망을가지고있는지... 니키님의생각을듣고싶습니다 ^^...( 생략 )...

모의해킹이란무엇인가 에서다룬내용 1 장은모의해킹진단의궁금한질문답변 2 장은학습을할때궁금한질문답변 3 장은입사를할시에궁금한질문답변

이번강의에서다룰주제 모의해킹업무의범위및절차 진로선택 & 취업에대한생각 Q&A

모의해커와범죄자의구분점은? 윤리의식?

모의해커와범죄자의구분점은? 2014 년에도굵직한해킹사고

모의해커와범죄자의구분점은? 모의해커와범죄자 ( 크래커 ) 의구분점 - 모의해킹과범죄적으로사용되는해킹 ( 크래킹 ) 의구분은그회사와계약을하고허락하에진행을하냐그렇지않냐이다. 구분모의해커범죄자 합법적여부고객사와계약에의한합의없이 1 차공격 Pointer 웹서비스, 모바일서비스 - DMZ Zone 개인 PC (Drive by Download) - 악성코드감염을통한 공격항목 네트워크장애를유발하는 DDoS, BoF 공격항목제외 마음내키는대로 공격시간정해진날짜와시간시간제한없음 개인 PC 가침투되면내부시스템접근이수월하여공격범위가넓어짐

모의해킹이란?

모의해킹개념 모의침투란? Penetration : 침투, 침입, 침해 TEST 해커와동일한환경과조건, Hacking Skill 을가지고모의침투테스트를실시하여실제로시스템의취약성을통해시스템이어떤방식으로침해될수있는지여부를점검해보는단계

모의해킹개념 모의침투란? 제 2 조 ( 정의 ) 1 이법에서사용하는용어의뜻은다음과같다. < 개정 2004.1.29, 2007.1.26, 2007.12.21, 2008.6.13, 2010.3.22>...( 중략 )... 7. " 침해사고 " 란해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부또는고출력전자기파등의방법으로정보통신망또는이와관련된정보시스템을공격하는행위를하여발생한사태를말한다....( 중략 )... 제 45 조의 3( 정보보호최고책임자의지정등 ) 1 정보통신서비스제공자는정보통신시스템등에대한보안및정보의안전한관리를위하여임원급의정보보호최고책임자를지정할수있다. 2 정보보호최고책임자는다음각호의업무를총괄한다. 1. 정보보호관리체계의수립및관리 운영 2. 정보보호취약점분석 평가및개선 3. 침해사고의예방및대응 4. 사전정보보호대책마련및보안조치설계 구현등 5. 정보보호사전보안성검토 6. 중요정보의암호화및보안서버적합성검토 7. 그밖에이법또는관계법령에따라정보보호를위하여필요한조치의이행 정보통신망이용촉진및정보보호등에관한법률 제 47 조의 4( 이용자의정보보호 ) 1 정부는이용자의정보보호에필요한기준을정하여이용자에게권고하고, 침해사고의예방및확산방지를위하여취약점점검, 기술지원등필요한조치를할수있다.

모의해킹개념 모의침투란? 전자금융감독규정 제 15 조 ( 해킹등방지대책 ) 1 금융기관또는전자금융업자는정보처리시스템및정보통신망을해킹등전자적침해행위로부터방지하기위하여다 음각호의대책을수립 운용하여야한다. 1. 해킹등전자적침해행위로인한사고를방지하기위한정보보호시스템설치및운영 2. 해킹등전자적침해행위에대비한시스템프로그램등의긴급하고중요한보정 (patch) 사항에대하여즉시보정작업실시 3. 내부통신망과연결된단말기에서제 1 호의규정에따른정보보호시스템을우회한인터넷등외부통신망 ( 무선통신망을포함한다 ) 접속금지...( 중략 )... 제17조 ( 홈페이지등공개용웹서버관리대책 ) 1 금융기관또는전자금융업자는공개용웹서버의안전한관리를위하여다음각호를포함한적절한대책을수립 운용하여야한다. 1. 공개용웹서버를내부통신망과분리하여내부통신망과외부통신망사이의독립된통신망 ( 이하 "DMZ구간" 이라한다 ) 에설치하고네트워크및웹접근제어수단으로보호할것 2. 공개용웹서버에접근할수있는사용자계정을업무관련자만접속할수있도록제한하고불필요한계정또는서비스번호 (port) 는삭제할것 ( 다만, 사용자계정은아이디및비밀번호이외에제37조에따른공인인증서등을추가인증수단으로반드시적용하여야한다 ) 3. 공개용웹서버에서제공하는서비스를제외한다른서비스및시험 개발도구등의사용을제한할것 4. DMZ 구간내에이용자정보등주요정보를저장및관리하지아니할것 ( 다만, 거래로그를관리하기위한경우에는예외로하되이경우반드시암 호화하여저장 관리하여야한다 )

모의해킹업무범위 1 2 3 4 5 서버보안점검네트워크장비보안점검 DBMS 보안점검개인 PC 보안점검보안시스템운영점검체크리스트기반진단 기술적진단 1 2 3 4 5 6 7 웹애플리케이션진단모바일애플리케이션진단소스코드진단역공학분석 (Reversing) 무선네트워크진단서버 / 네트워크해킹기타등 모의해킹 물리적진단 관리적진단

모의해킹범위는?

모의해킹범위는? 웹서비스취약점진단 KISA 소프트웨어개발보안가이드 KISA 홈페이지취약점제거가이드 SANS TOP 25 국정원 8 대취약점 행안부 10 대취약점 OWASP TOP 10 (Open Wep Application Security Project) 업체마다의모의해킹방법론 + 최신취약점들..

모의해킹범위는? 웹서비스취약점진단 10 대웹애플리케이션의취약점 (OWASP TOP 10) 은이기구에서연구하는프로젝트중일부의프로젝트. OWASP TOP 10 은 2004 년, 2007 년, 2010 년, 2013 년 3 년마다신규로업데이트되어배포

모의해킹범위는? 한국인터넷진흥원안내서 / 해설서 / 가이드참조

모의해킹범위는? 모바일서비스취약점진단 모든서비스는이제 모바일 로통함. But, 서버는웹서비스와동일한곳을바라보고있음 모바일서비스도 OWASP 10에서기준이존재함 구분 M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 한글안전하지않은데이터저장취약한서버측제어불충분한전송계층보호클라이언트측인젝션공격취약한권한및인증관리부적절한세션처리신뢰할수없는값에대한보안결점주변채널에의한데이터누수취약한암호사용중요한정보노출

모의해킹범위는? 솔루션기술적검토 - 메모리해킹, 키보드후킹을통한게임계정탈취등의보안사고로인해서보안솔루션에대한 자기방어 이슈가커짐 - 솔루션을도입할때업체별로평가가이루어지는개념검증 (PoC-Proof of Concept), 성능시험 (BMT-Benchmark Test) 의진단목록에반영 항목 설명 프로세스강제죽이기임시파일을통해원본파일생성가능가상머신실행탐지여부소프트웨어삭제가능여부 소프트웨어가실행되는동안에부모프로세스 ( 메인프로세스 ) 와관련된자식프로세스를강제로죽이거나 (Kill), 중단 (Suspend) 을하여서소프트웨어통제우회가가능한지확인임시파일 (.tmp), 백업파일 (.bak) 을생성하여후에원본파일로저장이가능한지확인가상머신안에보호된문서를저장하여외부로유출이가능한지확인설치된소프트웨어를사용자들이삭제하여문서를수정 / 저장해서유출이가능한지확인 네트워크공유가능여부 네트워크공유기능을활용하여문서보호가안된파일들을소프트웨어가설 치되지않은컴퓨터로이동이가능한지확인 소프트웨어관리자페이지진단 클라이언트에이전트를관리하는페이지를대상으로웹서비스및서버진단

모의해킹범위는? 솔루션기술적검토 - 사용자 PC 및관리시스템에설치되는솔루션대상보안성검토진행후솔루션업체에통보 바이너리패칭기술 - HexEditor 메모리조작 Cheat Engine 디버깅을통한우회 / 무력화 - OllyDBG 프로세스내기능추가 DLL Injection

모의해킹범위는? 시큐어코딩업무에대해서도알아야겠군요!. Secure Coding = 소스코드진단 SDLC(Security Development Life Cycle) 어플리케이션취약점진단업무중일부!! 오픈이되어접근이가능한서비스뿐만아니라소스코드레벨에서발생할수있는잠재적취약점을도출하기위한점검

모의해킹범위는? 시큐어코딩업무에대해서도알아야겠군요!. Gray Box 진단 Black Box 진단 ( 모의해킹 ) White Box 진단 ( 소스코드진단 ) 이부분을모두고려할수있는것

모의해킹범위는? 시큐어코딩업무에대해서도알아야겠군요!. Python Perl Delphi PHP ColdFusion Android CGI Java/JSP Object C C/C++ C# ASP.NET Perl ASP

모의해킹범위는? 시큐어코딩업무에도움이되는책

컨설턴트업무범위는?

컨설턴트업무범위는? 2014 년 주요정보통신기반시설 _ 기술적 _ 취약점 _ 분석 _ 평가 _ 방법 _ 상세가이드 행정안정부배포

컨설턴트업무범위는?

컨설턴트업무범위는? 서버 /WAS/ 네트워크 / 데이터베이스 / 개인 PC 진단 - 최적화된스크립트를구현하기위해서노력은하고있는가? - 관리자입장에서는어떤방안들이제일효율적인가? - 수천대의서버를관리하고있다면어떻게진행할수있을까? - 실시간 / 정기적으로검토를할수있는환경구성은어떻게해야할까? 명령어를직접입력 / 확인 스크립트이용판단은수동으로 스크립트이용판단도자동으로 스크립트이용보고서도자동으로 솔루션으로해결하자!!. 그럼컨설턴트는어떤것을더중점으로?

컨설턴트업무범위는? 서버 /WAS/ 네트워크 / 데이터베이스 / 개인 PC 진단 DEMO

컨설턴트업무범위는?

모의해킹절차는어떻게되나요?

모의해킹절차는어떻게되나요? 모의해킹업무절차 Pre-Engagement Interactions 사전협의단계 Intelligence Gathering 정보수집단계 Threat Modeling 위협모델링단계 Vulnerability Analysis 취약점분석단계 Exploitation 침투단계 Post Exploitation 내부침투단계 절차 설명 사전협의단계 담당고객 ( 관리실무자 ) 와프로젝트진행범위결정 정보수집단계 점검할대상에대해어떤서비스인지, 외부에노출되어있는정보들이어떤것인지모든정보수집 위협모델링단계 수집된정보중에서서비스와비교를하여보안적인문제가발생할수있는부분분류 취약점분석단계진단항목에맞게어떤취약점들이도출될수있는지확인 침투단계 시나리오기반으로각진단항목을서비스에대입하여침투여부확인 내부침투단계 1 차침투가완료된후에 2 차, 3 차로내부시스템침투여부확인 보고서작성 도출된취약점위협평가, 영향도를반영하여결과보고작성

모의해킹절차는어떻게되나요? 사전협의단계 Pre-Engagement Interactions 사전협의단계 Intelligence Gathering 정보수집단계 Threat Modeling 위협모델링단계 Vulnerability Analysis 취약점분석단계 Exploitation 침투단계 Post Exploitation 내부침투단계 1 2 Task 1 Task 2 웹어플리케이션취약점진단 - 외부모의해킹 : 대표홈페이지등 16 개 URL - 내부모의해킹 : 그룹웨어, CRM 등 5 개 무선네트워크취약점진단 - 외부 -> 내부 : OO 건물, OO 건물 OO 층 - 내부 -> 외부 : OO 부서등샘플선정 구분 Task1 ( 웹어플리케이션진단 ) Task2 ( 무선네트워크진단 ) 일정 1W 2W 3W 4W 5W 6W PM 니키 0.25 0.25 0.25 0.25 선임 1 0.25 0.25 0.25 0.25 0.25 0.25 선임 2 0.25 0.25 0.25 사원 1-0.25 0.25 0.25 0.25 0.25 총투입 0.75 1 1 0.5 0.5 0.75 Kick Off 20% 40% 중간보고 / 교육 60% 80% 최종보고

모의해킹절차는어떻게되나요? 정보수집단계 Pre-Engagement Interactions 사전협의단계 Intelligence Gathering 정보수집단계 Threat Modeling 위협모델링단계 Vulnerability Analysis 취약점분석단계 Exploitation 침투단계 Post Exploitation 내부침투단계

모의해킹절차는어떻게되나요? 위협모델링단계 Pre-Engagement Interactions 사전협의단계 Intelligence Gathering 정보수집단계 Threat Modeling 위협모델링단계 Vulnerability Analysis 취약점분석단계 Exploitation 침투단계 Post Exploitation 내부침투단계 구글검색정보 100 0 구글검색정보 서비스디렉터리정보 50 50 서비스디렉터리정보 스캐닝정보 15 5 스캐닝정보 서버정보 10 2 서버정보 네트워크정보 5 5 네트워크정보

모의해킹절차는어떻게되나요? 취약점분석단계 Pre-Engagement Interactions 사전협의단계 Intelligence Gathering 정보수집단계 Threat Modeling 위협모델링단계 Vulnerability Analysis 취약점분석단계 Exploitation 침투단계 Post Exploitation 내부침투단계

모의해킹절차는어떻게되나요? 침투단계 Pre-Engagement Interactions 사전협의단계 Intelligence Gathering 정보수집단계 Threat Modeling 위협모델링단계 Vulnerability Analysis 취약점분석단계 Exploitation 침투단계 Post Exploitation 내부침투단계

모의해킹절차는어떻게되나요? 내부침투단계 Pre-Engagement Interactions 사전협의단계 Intelligence Gathering 정보수집단계 Threat Modeling 위협모델링단계 Vulnerability Analysis 취약점분석단계 Exploitation 침투단계 Post Exploitation 내부침투단계

모의해킹절차는어떻게되나요? 결과보고서작성 DEMO

모의해킹절차는어떻게되나요? 결과보고서작성

모의해킹절차는어떻게되나요? 칼리리눅스 ( 백트랙 ) 도구에는모의해킹프로세스가포함됨

2 부 취업할때고민되는것

직업에는순서가있나요? 관제부터시작해서모의해킹을해야할까요?

직업에는순서가있나요? 왜이런생각을하게되었을까요? 모의해커는신입을뽑나요? 컨설턴트를했을때팀원들 95% 이상이신입부터시작 신입시절이없이어떻게경력자가있나?

직업에는순서가있나요? 보안은모든영역이협업을해야할분야이다.! 모두중요한위치

취업할시에프로젝트진행은?

취업할시에프로젝트진행은? 장기프로젝트란? 학습한동기들과함께연구주제를선택하여기술적, 관리적으로접근하여문서로정리할수있는기간 3 개월동안학습한기간보다프로젝트를완성하는 2 주 ~3 주가더욱중요 보안분야의많은파트에서자신의진로를생각할수있는시간 프로젝트에서살아남아야후에도동기들과관계를유지할수있음

취업할시에프로젝트진행은? 조별업무분담 모의침투팀 - 테스트환경시스템을대상으로모의침투수행 : 시나리오기반모의해킹절차프로세스작성 : 심화공격을통한취약점도출및분석 : 취약점상세설명및대응방안수립 보고서작성 관제팀 - 침해사고대응수행 : 해킹사고대응프로세스절차수립 : 로그분석및사고분석보고서작성 : IPS Rules 업데이트여부확인등 취약점분석팀 - 신규취약점분석수행 : 관제팀업무지원을통해심화분석수행 : 최신공격기법리서치데이터베이스화 : APT 공격기반으로범용어플리케이션취약점분석 컨설팅팀 - ISMS, PIMS, ISO 인증수행 : 2012 년부터이슈가되고있는 개인정보영향평가 수행 : 정보보호관리과정 ( 정책수립, 위험관리등 ), 문서화, 정보보호대책등수립

취업할시에프로젝트진행은? 조별업무분담

취업할시에프로젝트진행은? 보안프로젝트오프라인모임결과예제

모의해킹면접은어떤것을?

모의해킹면접은어떤것을? 자신만의스토리텔링을만들어보자. - 면접관이당신에게궁금한것이있는가? - 긴장이된다고? 떨어진다면이면접관들은여러분과볼기회가있을까?

모의해킹면접은어떤것을? 내가질문한것은어떤것? [ 웹애플리케이션취약점프로젝트를해왔다면 ] 1. 이력서에서진행한프로젝트에서자신이투입한 M/M 는어느정도이고어떤파트를주로담당했나요? 2. 프로젝트를하면서제일힘들었던시기는어떤거였나요? 그힘든시기를어떻게넘겼나요? 3. 실제업무에서그런힘든경험이발생하면팀원들과어떻게해결해나갈건가요? 4. 고객이 OWASP TOP 10 이무엇이냐라고물어본다면어떻게답변을해주실건가요? 5. 프로젝트에보니 XSS 취약점을잘설명했는데, 어떤위협들이있을까요? 6. XSS 취약점위협별로잘설명했는데, 이위협별로대응방안은어떤것일까요? 7. 파일업로드취약점이있는데, 파일업로드취약점을이용하여어떤시나리오들까지구성해봤나요? 재미있는시나리오소개해보세요. 8. 웹쪽으로최신동향한두가지만설명해줄수있나요? [ 리버싱취약점 / 모바일등 ] 1. MS 취약점에대해분석을해왔는데, 보고서가많은데이취약점에대해간단하게소개부탁드려요. 2. 이취약점으로인해서실무에서는어떤시나리오를구성할수있을까요? 3. 교육을통한리버싱과실무에서하는리버싱관점이다를건데어떻게학습을하실건가요? 4. 안드로이드모바일분석을잘하시는것같은데, ios 쪽은분석이가능한가요? 5. 개발경험은있나요? 언어별도어느정도다룰수있나요? 혹시개발을통한프로젝트경험은있나요? [ 공통질문 ] 1. 앞으로회사에서지내면서어떤계획들을가지고있나요? 1 년, 3 년, 5 년으로나눠서말해줄수있나요? ( 자신의포부질문 )

앞으로어떻게변할것같은가?

앞으로어떻게변할것같은가? 미래를생각해보자. 에릭슈미트 새로운디지털시대 http://www.youtube.com/watch?v=pfkhupoxrnc 유리와함께하는하루 http://www.youtube.com/watch?v=svew2cjmasq 유리와함께하는하루 2: http://www.youtube.com/watch?v=kgv3xbjv0xc

앞으로어떻게변할것같은가? 당장연구할수있는과제들선정 한국인터넷진흥원

앞으로어떻게변할것같은가? 연구결과는일부공개가됨 한국인터넷진흥원

마지막한말씀

마지막한말씀 중소기업에시작하는것나쁘지않습니다. 재미있는것부터하세요. 경력과함께경험이중요합니다. 경력 3년 ~5년사이에자신의영역을생각해보세요. 업무로접하지않으면잊어버리기때문에기록하세요. 자신의업무를다른분야와융합을해보세요.

Q&A

버그헌팅 ( 포상제제도에대해 )

포상제관리에대해 취약점관리는어디서결정해야할까요? 정보통신망침해행위등의금지누구든지정당한접근권한없이또는허용된접근권한을넘어정보통신망에침입하여서는아니된다. 본조본항은정보통신망에대한보호조치를침해하거나훼손할것을구성요건으로하지않고 정당한접근권한없이또는허용된접근권한을초과하여정보통신망에침입 하는행위를금지하고있으므로, 그보호조치에대한침해나훼손이수반되지않더라도부정한방법으로타인의식별부호 ( 아이디와비밀번호 ) 를이용하거나보호조치에따른제한을면할수있게하는부정한명령을입력하는등의방법으로침입하는행위도금지하고있다고보아야한다.

포상제관리에대해 사고가발생할시책임은? S/W 신규보안취약점신고포상제 2012 년 10 월부터소프트웨어신규보안취약점신고포상제를실시합니다. 포상금지급을위한평가는분기별로실시하며, 분기별우수취약점을선정하여평가결과에따라최고 500 만원의포상금이지급됩니다. 신고포상을원하는경우아래의신고양식을다운로드받아작성하여, 관련파일에첨부하여주시기바랍니다. - 참가대상 : 국내 외거주하는한국인 - 신고대상취약점 : ' 소프트웨어 ' 에대한보안취약점으로최신버전의소프트웨어영향을줄수있는신규보안취약점 ( 제로데이취약점 ) 홈페이지취약점등현재운영중인서비스나시스템에대한취약점은평가및포상대상에서제외 - 평가및포상일정 : 분기별평가를실시하여포상금을지급 ( 3, 6, 9, 12 월에평가및포상실시 )

포상제관리에대해 이력서제출할때이런내용으로? 기술경력 / 프로젝트경력 OO 사이트파일업로드취약점발견 OO 사이트관리자권한획득 OO 사이트 XSS 취약점 10여개발견 OO 사이트 CSRF 취약점발견 OO 사이트개인정보노출취약점신고 OO 사이트구글에서시스템정보노출신고.. 등등..

포상제관리에대해 외국사례는어떻까요? 구글, 페이스북, 마이크로소프트, 오라클등수많은외국사이트포상제도 포상제정보종합선물세트 : http://outofcontrol.co.kr/?p=339 예제 1 URL Redirection 취약점 1,500 불! https://www.facebook.com/dialog/optin?app_id==&next=http://google.com 예제 2 Stored XSS 취약점 5,000 불!

포상제관리에대해 외국사례는어떻까요? 예제 3 이것은얼마나받았을까요? 10,000$!!!!!

포상제관리에대해 버그헌팅프로그램참여가능

포상제관리에대해 버그헌팅만잘하면돈을많이벌수있을까?

2024 © docsplayer.org 개인정보보호 | 약관 | 지원