OnWorks Linux 및 Windows 온라인 워크스테이션

심벌 마크

워크스테이션용 무료 온라인 호스팅

<이전 | 내용 | 다음>

소개‌

보안 평가

영상

영상

11


내용


영상


평가의 Kali Linux 281 평가 유형 283 평가의 공식화 293

공격 유형 294 요약 297


영상

지금까지 Kali Linux 관련 기능을 많이 다루었으므로 Kali를 특별하게 만드는 요소와 여러 복잡한 작업을 수행하는 방법을 잘 이해해야 합니다.‌

그러나 Kali를 사용하기 전에 이해해야 할 보안 평가와 관련된 몇 가지 개념이 있습니다. 이 장에서는 보안 평가를 수행하기 위해 Kali를 사용해야 하는 경우 도움이 되는 참조를 제공하고 시작하기 위해 이러한 개념을 소개합니다.

우선, 정보 시스템을 다룰 때 "보안"이 정확히 무엇을 의미하는지 알아보는 데 시간을 할애할 가치가 있습니다. 정보 시스템 보안을 시도할 때 시스템의 세 가지 기본 속성에 중점을 둡니다.


기밀 유지: 시스템이나 정보에 접근해서는 안되는 행위자가 시스템이나 정보에 접근할 수 있는가?

진실성: 데이터나 시스템이 의도하지 않은 방식으로 수정될 수 있나요?


유효성: 데이터나 시스템이 언제, 어떻게 의도된 방식으로 접근 가능한가?


이러한 개념이 함께 CIA(기밀성, 무결성, 가용성) XNUMX요소를 구성하며, 대부분 표준 배포, 유지 관리 또는 평가의 일부로 시스템을 보호할 때 중점을 두는 기본 항목입니다.

어떤 경우에는 CIA 삼원조의 한 측면에 다른 측면보다 훨씬 더 관심을 가질 수도 있다는 점을 기억하는 것도 중요합니다. 예를 들어, 당신의 가장 은밀한 생각이 담긴 개인 일지가 있다면 그 일지의 기밀성은 진실성이나 가용성보다 훨씬 더 중요할 수 있습니다. 즉, 누군가가 저널에 쓸 수 있는지(읽는 것과는 반대로) 저널에 항상 액세스할 수 있는지 여부에 대해 걱정하지 않을 수 있습니다. 반면, 의료 처방을 추적하는 시스템을 보호하는 경우 데이터의 무결성이 가장 중요합니다. 다른 사람이 어떤 약을 사용하는지 읽지 못하게 하는 것도 중요하고 이 약품 목록에 접근할 수 있는 것도 중요하지만, 누군가가 시스템의 내용을 변경(무결성을 변경)할 수 있다면 이는 다음과 같은 결과를 초래할 수 있습니다. 생명을 위협하는 결과.

시스템을 보호하는 중 문제가 발견되면 이 세 가지 개념 중 어느 개념 또는 이들의 조합에 문제가 속하는지 고려해야 합니다. 이를 통해 문제를 보다 포괄적으로 이해하고 문제를 분류하고 그에 따라 대응할 수 있습니다. CIA 트라이어드의 단일 또는 여러 항목에 영향을 미치는 취약점을 식별하는 것이 가능합니다. SQL 주입 취약점이 있는 웹 애플리케이션을 예로 사용하려면:


기밀 유지: 공격자가 웹 애플리케이션의 전체 콘텐츠를 추출하여 모든 데이터를 읽을 수 있는 전체 액세스 권한을 가지도록 허용하지만 정보를 변경하거나 데이터베이스에 대한 액세스를 비활성화할 수는 없는 SQL 주입 취약점입니다.

진실성: 공격자가 데이터베이스의 기존 정보를 변경할 수 있도록 허용하는 SQL 주입 취약점입니다. 공격자는 데이터를 읽을 수 없으며 다른 사람이 데이터베이스에 액세스하는 것을 막을 수도 없습니다.

유효성: 장기간 실행되는 쿼리를 시작하여 서버에서 많은 양의 리소스를 소비하는 SQL 주입 취약점입니다. 이 쿼리가 여러 번 시작되면 DoS(서비스 거부) 상황이 발생합니다. 공격자는 데이터에 액세스하거나 데이터를 변경할 수 없지만 합법적인 사용자가 웹 애플리케이션에 액세스하는 것을 막을 수 있습니다.

배수: SQL 주입 취약점으로 인해 웹 애플리케이션을 실행하는 호스트 운영 체제에 대한 완전한 대화형 셸 액세스가 가능해집니다. 이러한 액세스를 통해 공격자는 원하는 대로 데이터에 액세스하여 시스템의 기밀성을 침해하고, 데이터를 변경하여 시스템의 무결성을 훼손할 수 있으며, 원하는 경우 웹 애플리케이션을 파괴하여 애플리케이션의 가용성을 손상시킬 수 있습니다. 체계.

CIA 트라이어드 뒤에 있는 개념은 지나치게 복잡하지 않으며 현실적으로 인식하지 못하더라도 직관적으로 작업할 수 있는 항목입니다. 그러나 노력의 방향을 어디로 정해야 할지 인식하는 데 도움이 될 수 있으므로 개념과 주의 깊게 상호 작용하는 것이 중요합니다. 이 개념적 기초는 시스템의 중요한 구성 요소를 식별하고 식별된 문제를 해결하는 데 투자할 가치가 있는 노력과 자원의 양을 식별하는 데 도움이 됩니다.

우리가 자세히 다룰 또 다른 개념은 위험, 그리고 그것이 어떻게 구성되어 있는지 위협 취약점. 이러한 개념은 너무 복잡하지는 않지만 잘못되기 쉽습니다. 이러한 개념은 나중에 자세히 다루겠지만 높은 수준에서는 다음을 생각해 보는 것이 가장 좋습니다. 위험 당신이 일어나는 일을 방지하려고 노력하는 것처럼, 위협 누가 너한테 그런 짓을 하겠느냐고, 취약점 그들이 그것을 할 수 있게 해주는 것. 위험 완화를 목표로 위협이나 취약성을 해결하기 위한 제어 장치를 마련할 수 있습니다.

예를 들어, 세계의 일부 지역을 방문할 때 상당한 상황에 처할 수 있습니다. 위험 말라리아에 걸리는 것. 이는 위협 일부 지역에서는 모기의 비율이 매우 높으며 말라리아에 면역이 있는 것은 거의 확실합니다. 다행히도 제어할 수 있습니다. 취약점 약물을 사용하여 조절하려고 시도합니다. 위협 벌레 퇴치제와 모기장을 사용하여. 두 가지 문제를 모두 해결하는 제어 장치가 마련되어 있습니다. 위협 그리고 취약점, 당신은 보장하는 데 도움이 될 수 있습니다 위험 실현하지 않습니다.


 

평가의 Kali Linux평가 유형취약성 평가발생 가능성영향전반적인 위험요약하자면규정 준수 침투 테스트기존 침투 테스트애플리케이션 평가평가의 공식화공격 유형서비스 거부메모리 손상웹 취약점비밀번호 공격클라이언트측 공격요약

  

 

<이전 | 내용 | 다음>

  

OnWorks의 최고 OS 클라우드 컴퓨팅: