모의해킹 방법

PCI DSS Requirements 11 에서 모의해킹(Penetration test)을 요구한다.
아래 간단한 모의해킹 방법을 정리해보았다.

1. download metasploit tool
http://www.metaspolit.com

2. open port scan with zenmap(nmap tool gui version)
target IP들에 대해서 open port가 있는 IP들을 scan한다.
IP대역 지정은 CIDR 포맷이나 range로 지정가능하다.
CIDR 예: 211.53.212.0/24
IP range : 21.53.212.1-254

3. port가 열려있는 IP들에 대해서 nessus vulnerability scan을 수행
만일 high vulnerabilities가 발견된다면

4. metasploit tool을 이용하여 exploit test 수행
- 발견된 취약점 형태에 따른 적절한 metasploit module을 선택하여 모의해킹 수행

-----------
위 절차는 사무실내에서(internal penetration test)와
사무실 외에서(external penetration test)에서 수행해야한다.

실제 모의해킹은 network에 대해서와 application에 대해서 시도해봐야하는데
위 절차는 network에 대한 절차이고 application에 대해서는 OWASP Top10 vulnerability guide에 의해 자체적으로 별도 수행해야한다.

-----------

참고로 일부 ASV scan 업체의 경우 ASV scan과 함께 penetration test 동시에 수행하고 결과를 제공하기도 한다.