소개글

쇼핑몰을 만들어서 모의해킹을 테스트한 PT보고서 입니다
11월 2일쯤 완성된 자료입니다

목차

1. 개 요
1.1. 목 적
1.2. 대 상
1.3. 수행 일정
1.4. 수행 인원
2. 관련 연구
2.1. Penetration Test
2.2. 환경
2.3. Encoding Schema
2.4. OWASP Top 10
3. 수행 방안
3.1. Penetration Test Scenario
3.2. Web Site
3.3. Tools
3.4. Check List
4. Penetration Test
4.1. Information Gathering
4.2. XSS (Cross Site Scripting)
4.3. CSRF (Cross Site Request Forgery)
4.4. SQL Injection
4.5. 취약한 파일 처리
4.6. 취약한 인증 및 세션 관리
5. 취약점 분석 및 대응 방안
6. 결 론
참고 문헌
부 록

본문내용

1.1. 목 적
최근 온라인 쇼핑몰이 활성화 되면서 온라인을 통한 거래량이 급증하고 있다. 그만큼 회원들의 개인정보 유출이나 해킹으로 인한 피해 또한 증가하고 있다.
이번 보고서를 위해 ‘Stylechart’ 라는 온라인 쇼핑몰 웹 사이트를 구축 하였다. 이 웹 사이트는 현재 운영 중이라는 가정 하에 외부자의 관점에서 Black Box Testing을 통한 모의해킹을 수행하고 취약점을 찾아 시스템에 미치는 영향을 파악하며 대책 및 해결 방안을 제시함으로써 예방 및 안정성을 확보하는데 목적을 둔다.

2.1 Penetration Test
모의 해킹이란 대상의 여러 가지 취약점들과, 취약점 이외에도 내부 시스템에 어느 정도까지 침투할 수 있고, 어떠한 정보나 시스템의 관리 권한을 불법적으로 획득할 수 있는지, 그리고 각 진단 모듈에서 발견된 취약점들이 어떻게 해킹에 이용되는지 등을 점검하는 과정이다. 모의 해킹을 통해 불법 침입의 가능성이 발견될 경우, 취약한 부분에 대한 대응책 및 개선 방안을 마련하여 보안 사고를 미연에 방지 할 수 있다.

<중 략>

Hash 알고리즘 방법
A. 클라이언트는 서버에게 Client Hello Message를 전송
일반적으로 브라우저를 통해 서버에게 SSL 연결 요청을 하기 위한 초기 단계
이다.
B. 서버는 클라이언트로 Server Hello Message와 서버 인증서를 전송하며,
만약 클라이언트 인증서가 필요한 경우에 인증서 요청도 함께 전송
서버는 클라이언트가 자신이 적합한 서버인지를 인증할 수 있도록 공신력 있
는 기관으로부터 발급받은 자신의 공인 인증서를 발송한다. 이때 일반적으로
서버 인증서와 함께 서버의 공용키가 클라이언트 측에 전달된다. 만약 클라이
언트에 대한 인증을 필요로 하는 트랜잭션이라면 이에 대한 요청도 함께 발송
한다.
C. 클라이언트는 암호화에 사용되는 세션 키와 함께 클라이언트에서 지원하는
Cipher Suite를 서버로 전송하며, 서버가 인증서를 요청한 경우에는 클라이언
트의 인증서도 함께 전송서버의 인증서에 대해 클라이언트는 브라우저 내에
저장되어 있는 신뢰기관으로부터의 발급여부를 확인하고 암호화에 사용될

참고 자료

없음