오늘 저희 와이드플러스원 고객사 중 한 곳에서 웹취약점 점검으로 ‘이메일해킹 모의훈련’과 ‘웹취약점 모의해킹’을 진행하였습니다. 이메일해킹 모의훈련은 2차에 걸쳐서 진행을 하였는데 할때마다 느끼는것이 발신메일주소를 숨길수가 없는게 큰 한계인듯 합니다. ㅋㅋㅋ 발신 메일주소보고 훈련대상자들이 금방 눈치를 채더라구요 ^^
웹취약점 모의해킹은 정말 고수의 화이트해커가 아닌 다음에야 툴의 도움을 받을 수 밖에 없는것 같습니다. 저희는 Brupsiute, OWASP ZAP, Metasploit 정도로 모의해킹을 진행하는데 할때마다 힘든 작업입니다. 국정원 8대지침, OWASP TOP 10 이런걸 기준으로 하는데 저희가 실력이 없는지 원하는 만큼 잘 안걸립니다 ㅋㅋㅋ
그래도 최선을 다하다보면 취약점이 나오는데 이거에 따른 보고서 쓰는것도 참 고민이 많이 됩니다.
많은것을 보여드리지는 못하지만 저희 홈페이지에서 세션고정 취약점을 한 번 해봤는데 우리회사 홈페이지도 뚫립니다 ㅋㅋㅋ 항상 말로만 설명드리다가 저희 회사 홈페이지를 대상으로 모의해킹을 해본 동영상 하나를 올려봅니다.
보시고 “와이드플러스원 이 친구들은 다 할수있다고 말만 하고 계약하면 모른척하는 친구들은 아니네…” 이정도만 생각해주셔도 참 감사하겠습니다.
힘든데 코로나 이겨내시지요. 화이팅입니다. ^^
