Rookies3 [Rookies 보안 28기] 모의해킹 프로젝트 4주차 멘토링 | 생성형 AI를 활용한 사이버보안 전문인력 양성과정 4주차 멘토링 전 시나리오 3개가 아래와 같이 최종 결정되었습니다. 1. Web- 챗봇을 이용한 프롬프트 인젝션- 정보 탈취 및 관리자 계정 획득- 획득한 관리자 계정으로 랜섬웨어 배포 2. Mobile- 악성 APK 제작- 기존 APK를 분석하여 루팅 우회 등 진행- XSS를 통해 사용자에게 악성 APK 설치 유도- 사용자 기기 탈취 3. Infra- 회원가입 페이지 SSTI를 통해 backdoor 설치- WAS Shell을 획득하여 IMDSv2 토큰 획득 및 IAM 권한 획득- AWS 서비스 무단 조회 및 RDS 접속- Bastion 접속 후 내부망 VPN 정보 확인- VPN 연결 후 내부망 접속- 내부망 크리덴셜 탈취 후 EMR 침투 위 시나리오 수행 후 보고서를 작성하였고, 보고서에 대한 피드백을.. 2026. 4. 12. [Rookies 보안 28기] 모의해킹 프로젝트 3주차 멘토링 | 생성형 AI를 활용한 사이버보안 전문인력 양성과정 웹/모바일 진단 리스트와 점검 수행 후 맞이하는 멘토링입니다.인프라 진단 리스트는 만들지 않기로 결정했습니다. 전체적인 취약점 진단은 80% 완료되었으나, 보고서의 개요와 요약 섹션은 보완이 필요하다는 피드백을 받았습니다.주요 피드백은 실무 템플릿을 기반으로 사용, 주통기 등 공인된 리스트의 내용을 인용하여 신뢰도를 높이는 것입니다. 아래는 세부 진단 피드백입니다. 1. Web- 프로세스 점증 누락: 이메일 인증 우회, 클라이언트 단의 권한 변조를 통한 관리자 페이지 진입 등은 모두 이 항목에 해당- SSTI: 보고서 작성 시 발생 위치, 실제 사용 공격 구문 명시- XSS: 단순 스크립트 실행이 아니라, JWT 탈취 시나리오까지 연결하면 품질이 올라감- CSRF: 중요 기능(admin 등)에 집중하여 .. 2026. 4. 12. [Rookies 보안 28기] 모의해킹 프로젝트 1주차 멘토링 | 생성형 AI를 활용한 사이버보안 전문인력 양성과정 루키즈 28기 최종프로젝트 때 진행한 멘토링 내용을 정리하였습니다.최종프로젝트 주제는 모의해킹이며, 멘토링은 총 5번 진행됩니다.멘토링 일지를 기준으로 프로젝트 진행상황을 정리하였습니다. 프로젝트의 구체적인 주제는 멘토링 전에 확정지었습니다.팀 내의 브레인스토밍을 통해, '의료 서비스 기반 모의해킹 시나리오' 로 결정되었습니다. 첫 번째 멘토링은 프로젝트 및 문서 관리, 기술 동향을 중심으로 진행되었습니다. 1. 프로젝트 문서화- 주제 선정 이유, 개발 스택 등 요소들을 한 눈에 볼 수 있는 고수준 정리 문서를 작성해야 함.- 리더는 전체적인 방향성을 정리하고 문서를 관리하는 데에 충분한 시간을 투자해야 함. 2. 인프라 구조2-1. 전통적인 3-Tier 구조- 구조: Web - WAS - DB- WA.. 2026. 4. 12. 이전 1 다음