웹/모바일 진단 리스트와 점검 수행 후 맞이하는 멘토링입니다.
인프라 진단 리스트는 만들지 않기로 결정했습니다.
전체적인 취약점 진단은 80% 완료되었으나, 보고서의 개요와 요약 섹션은 보완이 필요하다는 피드백을 받았습니다.
주요 피드백은 실무 템플릿을 기반으로 사용, 주통기 등 공인된 리스트의 내용을 인용하여 신뢰도를 높이는 것입니다.
아래는 세부 진단 피드백입니다.
1. Web
- 프로세스 점증 누락: 이메일 인증 우회, 클라이언트 단의 권한 변조를 통한 관리자 페이지 진입 등은 모두 이 항목에 해당
- SSTI: 보고서 작성 시 발생 위치, 실제 사용 공격 구문 명시
- XSS: 단순 스크립트 실행이 아니라, JWT 탈취 시나리오까지 연결하면 품질이 올라감
- CSRF: 중요 기능(admin 등)에 집중하여 점검 기준 재설정
- Open Redirection: '발생 가능한 기능 존재하지 않음' 등으로 작성
2. Mobile
- OS 변조 탐지: '쉽게 우회됨'의 쉽게의 기술적 기준을 명확히 설정
- 메모리 보호: 메모리 덤프 시 토큰 노출 여부 점검
- 권한 요청: 최신 OS는 런타임 권한 승인을 거치므로 위험도가 예전보다 낮아짐
3. 취약점, 약점, 위험도의 차이
이 3개를 명확히 구분해야 합니다.
- 약점: 단순 코드상의 오류, 블랙박스 관점으로는 취약점이 아님 (정수형 자리에 문자열 입력 시 에러)
- 취약점: 실제 공격이 성공하여 피해가 발생할 수 있는 지점
- 위험도: 자산의 중요도에 따라 결정 (개인정보가 없는 DB는 탈취 취약점이 있으나 위험도는 높지 않음)
이후에는 시나리오를 최종 결정하고, 구현하는 것을 목표로 설정했습니다.
시나리오는 총 3개가 나왔으며 멘토링 때 확정이 나지 않아 최대한 빨리 결정하기로 했습니다.
'Rookies' 카테고리의 다른 글
| [Rookies 보안 28기] 모의해킹 프로젝트 4주차 멘토링 | 생성형 AI를 활용한 사이버보안 전문인력 양성과정 (0) | 2026.04.12 |
|---|---|
| [Rookies 보안 28기] 모의해킹 프로젝트 1주차 멘토링 | 생성형 AI를 활용한 사이버보안 전문인력 양성과정 (0) | 2026.04.12 |
댓글