겉바속촉

Burp Suite_XSS, 프록시, repeater 작업 전의 설정은 지난 번과 동일합니다. 2021/02/02 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] Burp Suite_프록시, repeater [보안] Burp Suite_프록시, repeater Burp Suite를 켜볼까요?~ VMWARE에서는 METASPLOITABLE을 돌리고 있습니다:) 프록시 설정을 위해서 다음과 같이 OPTIONS탭에서 확인해주세요. 웹 브라우저에서 프록시 설정해주기!! 그리고 되도록이면 server 2-juhyun-2.tistory.com 이번에는 xss탭에서 연습을 해보도록 할게요 test1을 입력하고 메세지는 hello~라고 입력했습니다. 우클릭 - Send to Repeater 클릭 Re..

Burp Suite를 켜볼까요?~ VMWARE에서는 METASPLOITABLE을 돌리고 있습니다:) 프록시 설정을 위해서 다음과 같이 OPTIONS탭에서 확인해주세요. 웹 브라우저에서 프록시 설정해주기!! 그리고 되도록이면 server responses도 intercept 체크해주세요:) 그리고 dvwa 로그인 전에 인터셉트 켜준 후에 로그인 클릭!! forward눌러보면서 어느 주소에서 오는 지도 확인해주세요:) security low로 바꿔주기 다음과 같이 무언가를 입력해놓고서 인터셉트 켜주고서 SUBMIT 했습니다. 그 다음에 우클릭 해서 SEND TO REPEATER 클릭!! REPEATER 탭 눌러 보면 다음과 같이 화면이 구성되어있습니다. 이제 SEND를 눌러주면 RESPONSE에 주르르를르르..

다음 사이트로 가서 다운받아주세요!! https://sourceforge.net/projects/dirbuster/ DirBuster Download DirBuster for free. DirBuster is a multi threaded java application designed to brute force directories and files names on web/application servers. sourceforge.net exe파일 설치 하셨다면 클릭해서 실행해주기!!! 설치 끝나고 실행하기 설치된 경로 따라 간 후에 복사 cmd 창 켜주고 들어가세요 자바 베이스로 되어있습니다. 다음 명령어 입력해서 실행시켜주세요. C:\Program Files (x86)\DirBuster>java -j..

XSS - 사이트 간 스크립팅, 크로스 사이트 스크립팅, CROSS-SITE SCRIPTING - XSS취약점은 외부 공격자가 클라이언트 스크립트를 악용하여 웹사이트에 접속하려는 사용자에게 공격자가 의도한 명령이나 작업을 수행하도록 하는 공격 - 악성 서버 유도, 사용자 쿠키 정보 추출을 통해 세션 가로채기 같은 공격도 가능 - 웹 페이지는 개발 편의성이나 시간단축 측면에서 효율적인 동적 메커니즘으로 대부분 제작하기 때문에 변수를 활용하는 동적인 페이지 유연성이 XSS 취약점을 유발하는 원인이 되어버림 Reflected XSS : 반사 동적인 페이지 = 메시지를 매개변수로 받음 --> 개발 편의성 및 시간 단축 웹 애플리케이션의 지정된 파라미터를 사용할 때 발생하는 취약점을 이용하는 것 브라우저로 반환된..

sqlmap을 먼저 설치해주세요. http://sqlmap.org/ sqlmap: automatic SQL injection and database takeover tool Introduction sqlmap is an open source penetration testing tool that automates the process of detecting and exploiting SQL injection flaws and taking over of database servers. It comes with a powerful detection engine, many niche features for the ultimate p sqlmap.org 위 사이트 접속해서 다운 받으시면 됩니다:) zip파일 설치..

지난번에 SQL Injection에 대한 개념을 익혔는데요. 이제 DVWA 에서 연습해보도록 할게요!! 2021/01/29 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] SQL Injection 개념 [보안] SQL Injection 개념 SQL Injection 웹 서버와 db 서버가 연동되는 웹 서비스 중 사용자의 입력을 받는 화면이 존재 입력받는 문자열에 별도의 처리 없이 db 조회를 위한 sql구문이 사용될 경우 정상적인 sql 구문 인자 값의 2-juhyun-2.tistory.com SQL Injection 연습 Metasploitable 리눅스 켜서 ifconfig명령으로 ip주소 확인해주기 웹 브라우저에서 확인했던 ip주소로 접속!! DVWA 들어가서 admin, pass..

SQL Injection 웹 서버와 db 서버가 연동되는 웹 서비스 중 사용자의 입력을 받는 화면이 존재 입력받는 문자열에 별도의 처리 없이 db 조회를 위한 sql구문이 사용될 경우 정상적인 sql 구문 인자 값의 변조를 통해 데이터 베이스 접근 및 임의의 sql 쿼리 문을 실행 할 수 있음 1. 위험성 가. 사용자 인증을 우회, 정상적인 사용자의 인증권한 획득 가능. 보통 개발할 때 관리자 즉 admin을 많이 넣어주기 때문에. 나. 데이터베이스 획득 의도적으로 DB 에러메시지 유발, DB 구조파악 가능 다. 관리자 권한 명령 실행 SQL Query가 내장 프로시저를 이용항 시스템 명령 실행이 가능하다면 --> XPcmd 관리자 권한 명령을 실행할 수 있는 권한 획득 가능 --> 실질적인 시스템 장악..

웹 서비스 기본 포스팅 참고 2021/01/27 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [네트워크] 웹 서비스 기본 1 [네트워크] 웹 서비스 기본 1 웹 서비스 구성 1. 웹 서비스 기본요소 1 티어 -> (웹 + Was + DB) 2 티어 -> (웹 + Was) + DB => 가장 많이 쓰는 방법 3 티어 -> (웹) + (어플리케이션) + (DB) 정규화 과정은 왜 할까? --> 중복 테이블이나.. 2-juhyun-2.tistory.com 2021/01/29 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [네트워크] 웹 서비스 기본 2 [네트워크] 웹 서비스 기본 2 지난 번에 했던 내용 중 웹 서비스에 대해 알아봤습니다. 이어서 해보도록 할게요:) 2021/01/27 ..

지난 번에 했던 내용 중 웹 서비스에 대해 알아봤습니다. 이어서 해보도록 할게요:) 2021/01/27 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [네트워크] 웹 서비스 기본 1 [네트워크] 웹 서비스 기본 1 웹 서비스 구성 1. 웹 서비스 기본요소 1 티어 -> (웹 + Was + DB) 2 티어 -> (웹 + Was) + DB => 가장 많이 쓰는 방법 3 티어 -> (웹) + (어플리케이션) + (DB) 정규화 과정은 왜 할까? --> 중복 테이블이나.. 2-juhyun-2.tistory.com 클라이언트와 서버 웹 클라이언트 웹 서버에 페이지 요청, 서버가 응답한 결과는 화면에 출력 클라이언트 측 언어 HTML = Hyper Text Markup Language CSS = Clie..