보고서 개요
보고서는 다음과 같은 구조로 작성한다.
1. 모의해킹 수행 정보
1.1 개요
1.2 대상
1.3 수행 기간
1.4 수행 인력
1.5 취약점 점검 항목
2. 모의해킹 결과
2.1 총평
2.2 결과 요약
3. 취약점 상세 내용
3.1 도메인
3.1.1 SQL Injection 등..
4. 보안 권고안
4.1 SQL Injection
1.5 취약점 점검 항목
보통 주통기반, 금취분평 등 클라이언트가 요청하는 방식으로 진행하게 된다.
2. 모의해킹 결과
보안 담당자가 보는 정보이다.
총평 : 내가 클라이언트에게 내리는 진단으로서, 이러이러한 문제가 있으니, 이렇게 해결해 주세요. 의 내용이 들어가면 된다. 보통 1~2페이지 정도이다.
결과 요약 : 어떤 취약점이 나왔는지 리스트, 도메인이 여러개더라도 합쳐서 작성한다.
3. 취약점 상세 내용
개발자가 보는 정보이다.
이걸 보고 취약점을 수정해야 하기 때문에, 친절하고 자세히 작성해준다.
또한 이 취약점들을 보완한 후 이행점검을 나가는 데, 그 때 이 보고서를 기반으로 이행점검 하기 때문에
그 분들 (내가 될 수도 있지만, 보통은 다른 분이 작업하게 된다.)을 위해서라도 친절하게 작성해 두는 것이 좋다.
취약점 상세 내용에 있는 보안 권고안은 개발자에게 얘기해 주는 것이기 때문에, 이 취약점은 이렇게 고치세요를 적어준다. 이 부분이 진짜 컨설팅이다.
문서의 제목
@@@ 모의해킹 결과 보고서_20**0304_v0.8.doc
최종 완성본일 때 v1.0을 붙인다.
완성 전 보고서를 동료에게 전달할 때는 완성된 퍼센테이지만큼 표기하는 게 좋다.
당연한 기본
- 말투를 통일한다. (가능하면 존댓말)
- 맞춤법이 틀리지 않도록 주의한다. (맞춤법 검사기를 활용하라.)
상대는 천만 원이 넘는 돈을 내고 받는 컨설팅의 결과물로 받는 보고서이니 만큼, 정말 잘 썼다 라는 생각이 들 만큼 신경써서 작성하자.
'모의해킹 공부하기 > 모의해킹 수업 복습' 카테고리의 다른 글
| [16주차] 인증 / 인가 취약점 (0) | 2024.02.21 |
|---|---|
| [7주차-2] Blind SQL Injection (0) | 2024.02.20 |
| [15주차-3] File download 취약점 (0) | 2024.02.14 |
| [15주차-2] File Include 취약점 및 대응방안 (0) | 2024.02.14 |
| [15주차-1] File Upload 공격 (이중확장자) (0) | 2024.02.14 |