웹 모의해킹, 시스템 해킹 등 인터넷 보안 실무와 관련된 다양한 케이스를 학습하고, 평가해볼 수 있는 온라인 모의해킹 교육 시스템이 제공된다. 본 발명의 실시예에 따른 모의해킹 교육 방법은, 모의해킹 교육 시스템이, 모의해킹 실습 유형별로 하나 이상의 모의해킹 실습 예제를 생성하여 데이터베이스를 구성하는 단계; 및 모의해킹 교육 시스템이, 데이터베이스를 기반으로 모의해킹 실습 평가가 수행되도록 하는 단계;를 포함한다. 이에 의해, 다양한 형태의 보안 체계가 구성되어 있는 실제 사례와 유사한 로직으로 실무와 연관성이 높은 실습 예제들
웹 모의해킹, 시스템 해킹 등 인터넷 보안 실무와 관련된 다양한 케이스를 학습하고, 평가해볼 수 있는 온라인 모의해킹 교육 시스템이 제공된다. 본 발명의 실시예에 따른 모의해킹 교육 방법은, 모의해킹 교육 시스템이, 모의해킹 실습 유형별로 하나 이상의 모의해킹 실습 예제를 생성하여 데이터베이스를 구성하는 단계; 및 모의해킹 교육 시스템이, 데이터베이스를 기반으로 모의해킹 실습 평가가 수행되도록 하는 단계;를 포함한다. 이에 의해, 다양한 형태의 보안 체계가 구성되어 있는 실제 사례와 유사한 로직으로 실무와 연관성이 높은 실습 예제들을 기반으로 데이터베이스를 구성하고, 이를 기반으로 보안 실무 교육 및 모의해킹의 실습 평가를 수행함으로써, 교육 참가자의 전문적인 역량을 향상시킬 수 있다. 또한, 데이터베이스에 현 기술 트렌드가 반영된 실습 예제들을 지속적으로 추가함으로써, 교육 참가자들이 현 기술 트렌드에 적합한 다양한 케이스를 체험해보도록 할 수 있다.
대표청구항▼
모의해킹 교육 시스템이, 모의해킹 실습 유형별로 하나 이상의 모의해킹 실습 예제를 생성하여 데이터베이스를 구성하는 단계; 및모의해킹 교육 시스템이, 데이터베이스를 기반으로 모의해킹 실습 평가가 수행되도록 하는 단계;를 포함하며,모의해킹 실습 유형은, a)PC 단말 장악 유형, b)권한 탈취 유형, c)서버 단말 장악 유형, d)인증 우회 유형 및 e)중요 정보 탈취 유형 중 하나 이상이 포함되고,a)PC 단말 장악 유형에 대한 모의해킹 실습 평가는, 교육 참가자에 의해 작성된 임의 스크립트를 피해자 PC에 전달하는 방식으로 XSS(
모의해킹 교육 시스템이, 모의해킹 실습 유형별로 하나 이상의 모의해킹 실습 예제를 생성하여 데이터베이스를 구성하는 단계; 및모의해킹 교육 시스템이, 데이터베이스를 기반으로 모의해킹 실습 평가가 수행되도록 하는 단계;를 포함하며,모의해킹 실습 유형은, a)PC 단말 장악 유형, b)권한 탈취 유형, c)서버 단말 장악 유형, d)인증 우회 유형 및 e)중요 정보 탈취 유형 중 하나 이상이 포함되고,a)PC 단말 장악 유형에 대한 모의해킹 실습 평가는, 교육 참가자에 의해 작성된 임의 스크립트를 피해자 PC에 전달하는 방식으로 XSS(Cross Site Scripting) 취약점을 이용하여 PC의 제어권을 획득하는 모의해킹 실습 평가이며,a)PC 단말 장악 유형에 대한 모의해킹 실습 평가가 수행되도록 하는 단계는, PC 단말 장악 유형에 대한 모의해킹 실습 예제가 출제되면, 게시판에 접속하는 단계;취약한 파라미터에 제1 문자열을 기재하여 전송하고, 응답 HTML 코드에 제1 문자열의 포함 여부를 확인하는 단계;응답 HTML 코드에 제1 문자열이 포함된 경우, 취약한 파라미터에 svg 태그를 삽입하고, 이벤트 핸들러에 alert 함수를 삽입하는 단계; 및삽입 단계가 수행된 응답 HTML 코드의 파라미터를 기반으로 URL에 접속하여, 정답 Flag를 획득하는 단계;를 포함하고,b)권한 탈취 유형에 대한 모의해킹 실습 평가는,교육 참가자가 관리자 또는 다른 사용자의 권한을 탈취하여 로그인 페이지 또는 게시판에 대한 제한된 기능들을 임의로 이용하는 모의해킹 실습 평가이며, b)권한 탈취 유형에 대한 모의해킹 실습 평가가 수행되도록 하는 단계는,권한 탈취 유형에 대한 모의해킹 실습 예제가 출제되면, 교육 참가자 계정으로 권한 변경을 요청하는 단계;권한 변경 불가 메시지가 수신되면, 권한 변경 요청 패킷을 확인하는 단계;권한 변경 요청 패킷에 기재된 파라미터를 이용하여 게시글에 권한 상승을 시키는 임의 요청을 삽입하는 단계; 및 관리자에 의해 게시글이 확인되면, 삽입된 임의 요청에 따라 교육 참가자가 관리자의 권한을 탈취하여, 정답 Flag를 획득하는 단계;를 포함하고,c)서버 단말 장악 유형에 대한 모의해킹 실습 평가는, 교육 참가자가 서버의 쉘(Shell)을 획득하여 서버의 제어권을 획득하는 모의해킹 실습 평가이며, c)서버 단말 장악 유형에 대한 모의해킹 실습 평가가 수행되도록 하는 단계는,서버 단말 장악 유형에 대한 모의해킹 실습 예제가 출제되면, 서버에 접속하는 단계;PHP Webshell 파일을 작성하여 서버에 업로드하는 단계;업로드된 PHP Webshell 파일을 다운로드 받아, PHP Webshell 파일의 경로를 확인하는 단계;확인된 경로에 접근하여 임의의 명령을 전달해 실행 여부를 확인하는 단계;임의의 명령이 정상적으로 실행되면, 디렉토리 목록의 출력을 요청하는 ls 명령어를 이용해 서버의 디렉토리를 탐색하는 단계; 및탐색 결과를 이용하여, property.php 파일에서 DB의 비밀번호인 정답 Flag를 획득하는 단계;를 포함하고,d)인증 우회 유형에 대한 모의해킹 실습 평가는, 서버에서 설계된 인증 로직을 우회하여 비인가자인 교육 참가자가 서버에 접근하거나 임의의 서비스를 이용하는 모의해킹 실습 평가이며,d)인증 우회 유형에 대한 모의해킹 실습 평가가 수행되도록 하는 단계는,인증 우회 유형에 대한 모의해킹 실습 예제가 출제되면, 임의의 계정으로 로그인 인증을 시도하여 비밀번호 오류 메시지를 수신하는 단계;login.php를 이용하여 비밀번호 찾기 페이지로 이동시키는 로그인 응답 파라미터를 확인하는 단계;로그인 응답 파라미터를 변조하는 단계; 및 변조 결과를 이용하여 로그인 인증이 성공된 것으로 출력되면, 정답 Flag를 획득하는 단계;를 포함하고,e)중요 정보 탈취 유형에 대한 모의해킹 실습 평가는, 서버에 임의의 질의문을 보낼 수 있는 SQL Injection 취약점 또는 하나 이상의 정보 누출 취약점을 이용하여 서버에 저장된 중요 정보들을 탈취하는 모의해킹 실습 평가이고, e)중요 정보 탈취 유형에 대한 모의해킹 실습 평가가 수행되도록 하는 단계는,중요 정보 탈취 유형에 대한 모의해킹 실습 예제가 출제되면, 주소 검색 페이지에 접속하는 단계;order by 구문을 이용하여 접속된 주소 검색 페이지에서 사용하는 SQL 쿼리에서 조회하는 컬럼의 수를 확인하는 단계;확인된 컬럼의 수에 따라 union 쿼리를 작성하여 전송하는 단계; 전송 결과의 정상적인 출력 여부를 확인하는 단계;전송 결과가 정상적으로 출력되면, 테이블 이름을 출력하는 쿼리를 작성하여 테이블 이름들을 확인하는 단계;임의의 테이블이 가지고 있는 컬럼의 이름을 확인하는 쿼리를 작성하는 단계; 및테이블 이름 및 컬럼의 이름을 기반으로 정답 Flag를 확인하는 쿼리를 작성하여, 정답 Flag를 획득하는 단계;를 포함하는 것을 특징으로 하는 모의해킹 교육 방법.
연구과제 타임라인
LOADING...
LOADING...
LOADING...
LOADING...
LOADING...
이 특허에 인용된 특허 (1)
[한국]
침입자 행동패턴을 반영한 사이버보안 교육훈련시스템 및 방법 |
서동우,
이윤수,
김윤정,
김병주,
윤선미
※ AI-Helper는 부적절한 답변을 할 수 있습니다.