취약점 진단과 모의해킹의 차이점

취약점 진단과 모의 해킹의 차이점 

1. 취약점 진단 

   • 체크리스트 기준으로 항목별 취약점 점검+ 

   • 위협이 있을 수 있는 취약점을 식별하고 위험의 가능성을 확인하는 수준 ex) SQL Injection [기호] SQL Injection에 영향을 받을 수 있는 취약한 구조를 확인 ‘ -> DB 에러 페이지 유발 [기호] source code에서 DB까지 전달을 해주는구나?, 이미 SQL Injection이 일어날 수 있을 거 같은데? 

2. 모의 해킹(취약점 진단을 바탕으로 수행) 

   • 대상 시스템의 취약한 정보를 수집 

   • 취약점 정보를 바탕으로 위협 모델링(시나리오 기반) 

   • 권한 획득, 정보 탈취, 정보 변경, 시스템 파괴 등의 목적 달성까지 진행하는 방법 
     ex) SQL Injection : ‘ -> DB 에러 페이지 유발 -> SQL 구문을 작성 
     -> DB 정보 유출, DB정보 변경, DB정보 삭제까지 확인 

취약점 식별을 한 후에 모의 해킹을 통해 증명