2주차] 화이트해커가 되기 위한 8가지 웹 해킹 기술 - 화이트 해커와 웹 보안

1. 화이트해커란

1) 진로

- 기업망 보안 담당자 : 회사 내 보안교육, 전체망 보안시스템 담당
- 제품 보안 담당자 : 제품의 보안을 담당
- 보안 컨설턴트 : 고객사의 악성코드, 보안 취약점을 찾아 컨설팅
- 디지털 포렌식 전문가 : 디지털 수사
- 보안 솔루션 : 백신, 웹 방화벽 등 개발
- 버그헌터 및 프리랜서 보안 연구

2) 화이트해커

- 화이트햇 : 서부영화 착한 주인공 모자에서 유래 (악당들은 블랙햇)
모든 정보보안전문가를 지킹하기도 하지만, 실제 해킹기술을 보유하고 있는 사람을 칭함

모의 해킹이나 소스 코드 점검 등의 방법으로 취약점을 찾아 공개하여 보안성을 높임
-> 보안성 극대화

요즘은 재미나 수입을 위해서 간단히 하기도 함
다만 확실한 실적이 없다면 스트레스를 받을 수 있음

3) 불법 해킹과의 차이

사전 허가 여부

4) 화이트해커가 되려면

전체적으로 알면 좋지만, 한가지 분야를 잡고 이해 필수인 전공을 공부해야하고, 프로그래밍 언어를 습득하는 것이 좋다.

- 스크립팅 언어로 자체 제작할 수 있으면 아주 좋음
- 영어도 공부할 것 (해외에서 먼저 정보가 공개되는 경우가 많음, 최신 고급정보 습득을 위해->자신을 두드러지게 표현하는 준비가 될 것)
- 실습 위주로 학습, 익스플로잇 코드를 직접 실행해보자 (exploit-db.com-익스플로잇 코드와 최신 트렌드를 알 수 있음)

D : 익스플로잇 코드를 다운받는 링크 / A : 익스플로잇이 가능한 software version / V - varified 여부, 실제 익스플로잇이 되는지 (학습을 할 때는 체크된 것을 하기)

좌측 상단에 search 부분에서 특정 exploit도 검색이 가능하다.

dirty cow : 일반 사용자가 리눅스의 root권한을 exploit하는 공격

위 박스는 exploit 버전을 의미하며 아래 코드는 exploit 코드이다.
주석을 통해 어떻게 exploit을 컴파일하고 실행하는지 적혀있다.

 

2. 보안취약점과 해킹

1) 보안 취약점

보안성에 영향을 주는 취약점 == 보안취약점

[보안취약점]
아래 정보보안의 3요소 중 하나에 영향을 주는 것
   - 기밀성 : 패스워드나 개인정보 유출
   - 무결성 : 시스템이 변조되는 것, worm/virus
   - 가용성 : 서비스가 문제 없이 운영되어야하는 것, dos 공격으로 영향을 줄 수 있음

웹 해킹 == 웹 보안 취약점 공격

2) 해킹의 기초 단계

정찰(reconnaissance) : ex) 구글 외부 접속 가능 ip 알아보기 등

스캐닝 및 취약점 분석 :