겉바속촉

다음 사이트로 가서 다운받아주세요!! https://sourceforge.net/projects/dirbuster/ DirBuster Download DirBuster for free. DirBuster is a multi threaded java application designed to brute force directories and files names on web/application servers. sourceforge.net exe파일 설치 하셨다면 클릭해서 실행해주기!!! 설치 끝나고 실행하기 설치된 경로 따라 간 후에 복사 cmd 창 켜주고 들어가세요 자바 베이스로 되어있습니다. 다음 명령어 입력해서 실행시켜주세요. C:\Program Files (x86)\DirBuster>java -j..

XSS - 사이트 간 스크립팅, 크로스 사이트 스크립팅, CROSS-SITE SCRIPTING - XSS취약점은 외부 공격자가 클라이언트 스크립트를 악용하여 웹사이트에 접속하려는 사용자에게 공격자가 의도한 명령이나 작업을 수행하도록 하는 공격 - 악성 서버 유도, 사용자 쿠키 정보 추출을 통해 세션 가로채기 같은 공격도 가능 - 웹 페이지는 개발 편의성이나 시간단축 측면에서 효율적인 동적 메커니즘으로 대부분 제작하기 때문에 변수를 활용하는 동적인 페이지 유연성이 XSS 취약점을 유발하는 원인이 되어버림 Reflected XSS : 반사 동적인 페이지 = 메시지를 매개변수로 받음 --> 개발 편의성 및 시간 단축 웹 애플리케이션의 지정된 파라미터를 사용할 때 발생하는 취약점을 이용하는 것 브라우저로 반환된..

sqlmap을 먼저 설치해주세요. http://sqlmap.org/ sqlmap: automatic SQL injection and database takeover tool Introduction sqlmap is an open source penetration testing tool that automates the process of detecting and exploiting SQL injection flaws and taking over of database servers. It comes with a powerful detection engine, many niche features for the ultimate p sqlmap.org 위 사이트 접속해서 다운 받으시면 됩니다:) zip파일 설치..

지난번에 SQL Injection에 대한 개념을 익혔는데요. 이제 DVWA 에서 연습해보도록 할게요!! 2021/01/29 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] SQL Injection 개념 [보안] SQL Injection 개념 SQL Injection 웹 서버와 db 서버가 연동되는 웹 서비스 중 사용자의 입력을 받는 화면이 존재 입력받는 문자열에 별도의 처리 없이 db 조회를 위한 sql구문이 사용될 경우 정상적인 sql 구문 인자 값의 2-juhyun-2.tistory.com SQL Injection 연습 Metasploitable 리눅스 켜서 ifconfig명령으로 ip주소 확인해주기 웹 브라우저에서 확인했던 ip주소로 접속!! DVWA 들어가서 admin, pass..

SQL Injection 웹 서버와 db 서버가 연동되는 웹 서비스 중 사용자의 입력을 받는 화면이 존재 입력받는 문자열에 별도의 처리 없이 db 조회를 위한 sql구문이 사용될 경우 정상적인 sql 구문 인자 값의 변조를 통해 데이터 베이스 접근 및 임의의 sql 쿼리 문을 실행 할 수 있음 1. 위험성 가. 사용자 인증을 우회, 정상적인 사용자의 인증권한 획득 가능. 보통 개발할 때 관리자 즉 admin을 많이 넣어주기 때문에. 나. 데이터베이스 획득 의도적으로 DB 에러메시지 유발, DB 구조파악 가능 다. 관리자 권한 명령 실행 SQL Query가 내장 프로시저를 이용항 시스템 명령 실행이 가능하다면 --> XPcmd 관리자 권한 명령을 실행할 수 있는 권한 획득 가능 --> 실질적인 시스템 장악..

웹 서비스 기본 포스팅 참고 2021/01/27 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [네트워크] 웹 서비스 기본 1 [네트워크] 웹 서비스 기본 1 웹 서비스 구성 1. 웹 서비스 기본요소 1 티어 -> (웹 + Was + DB) 2 티어 -> (웹 + Was) + DB => 가장 많이 쓰는 방법 3 티어 -> (웹) + (어플리케이션) + (DB) 정규화 과정은 왜 할까? --> 중복 테이블이나.. 2-juhyun-2.tistory.com 2021/01/29 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [네트워크] 웹 서비스 기본 2 [네트워크] 웹 서비스 기본 2 지난 번에 했던 내용 중 웹 서비스에 대해 알아봤습니다. 이어서 해보도록 할게요:) 2021/01/27 ..

지난 번에 했던 내용 중 웹 서비스에 대해 알아봤습니다. 이어서 해보도록 할게요:) 2021/01/27 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [네트워크] 웹 서비스 기본 1 [네트워크] 웹 서비스 기본 1 웹 서비스 구성 1. 웹 서비스 기본요소 1 티어 -> (웹 + Was + DB) 2 티어 -> (웹 + Was) + DB => 가장 많이 쓰는 방법 3 티어 -> (웹) + (어플리케이션) + (DB) 정규화 과정은 왜 할까? --> 중복 테이블이나.. 2-juhyun-2.tistory.com 클라이언트와 서버 웹 클라이언트 웹 서버에 페이지 요청, 서버가 응답한 결과는 화면에 출력 클라이언트 측 언어 HTML = Hyper Text Markup Language CSS = Clie..

웹 해킹 브라우저의 확장 기능 활용 브라우저에 있는 확장 기능 이용하여 사이트 구조 파악이 가능 웹 브라우저의 도구 메뉴에 있는 개발자 도구를 활용 공격자 입장 : html 소스의 위치 파악, 구조 파악이 더 용이 다음 확장 기능에서 도구 더보기 - 개발자 도구 클릭 주로 Aplication의 쿠키 데이터들 많이 찾아봅니다. 값을 수정할 수도 있고 세션 정보들이 없다면 쿠키값 내부에 존재할 것입니다. Network 탭에서는 페이지 로드 시간도 측정할 수 있습니다. 다음과 같이 녹화 버튼을 누르고 페이지 방문해주세요 그리고 새로고침 누르면 주르르르르륵 측정이 될 것입니다. DNS쿼리, SSL 핸드 쉐이크, 다운로드 기타 등등... 이러한 요인들이 로드시간에 영향을 미칠 것입니다:) 다음과 같이 하나 선택해..

체크 리스트 VS 모의 해킹 체크리스트 모의해킹 점검항목 시나리오 목적 기반 OWASP TOP 10 1. 웹서버 해킹 -> 내부 안전 행정부 체크리스트 2. 이메일 피싱 주요정보통신 3. Wi-Fi 국정원 8대 취약점 4. USB 이용 장점 일괄된 품질 결과 진단 시간 빠름 회사에 가장 취약한 지점 알 수 있음 Risk 기반 단점 항목이 없으면 검사를 안함 일관된 결과를 기대하기 힘듦 모의 해킹 인가받은 해킹 담당 컨설턴트에 의해 외부 또는 내부 네트워크상의 서비스와 서버에 대해 실제 크래커가 사용하는 해킹 도구와 기법을 이용하여 정보시스템의 침투가능성을 진단하는 업무 모의해킹 대상 선정 --> 중점 점검항목 결정 --> 시나리오 결정 --> 해킹 위험도 분석 시나리오 결정 : 내부자 관점과 외부자 관점..