겉바속촉

지난 번에는 기능레벨의 접근통제에 대해서 알아봤습니다. 2021/02/08 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] 접근제어 (feat. 기능레벨의 접근통제) [보안] 접근제어 (feat. 기능레벨의 접근통제) 접근제어 (Access Control) 화면에서의 접근제어(Presentaion layer access control) ⇒ 권한 있는 사용자에게만 기능 버튼과 링크를 제공 기능 레벨에서의 접근제어(Business layer access control) ⇒ 권한 있는.. 2-juhyun-2.tistory.com 작업중이던 환경들은 지난포스팅과 동일하게 진행하고 있습니다. 참고해주세요:) 이번에는 데이터레벨의 접근통제에 대해서 알아보겠습니다. WebGoat 페이지에서 Acce..

접근제어 (Access Control) 화면에서의 접근제어(Presentaion layer access control) ⇒ 권한 있는 사용자에게만 기능 버튼과 링크를 제공 기능 레벨에서의 접근제어(Business layer access control) ⇒ 권한 있는 사용자의 요청에 대해서만 처리를 제공 데이터 레벨에서의 접근제어(Data layer access control) ⇒ 권한 범위 내의 데이터에 대해서만 접근을 허용 ex) 회원 정보를 조회 서비스 조회 신청 페이지 조회 처리 페이지 form.jsp search.jsp search.jsp?id=1234 회원ID: 1234 ---------------------------> 1) 로그인 여부를 확인 (= 인증 여부를 확인) 2) 고객ID가 전달되었..

지난번에 PROXY에 대해 더 자세하게 알 수 있는 실습을 해봤습니다. 2021/01/28 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] Proxy 실습 (feat.burpsuite, metasploitable) [보안] Proxy 실습 (feat.burpsuite, metasploitable) 작업환경 java jre 설치 burp proxy 설치 VMware 설치 metasploitable 리눅스 설치 metasploitable 리눅스 설치 후 vmware에서 오픈!!! id : msfadmin pw : msfadmin 로그인해주기 하다보면 마우스가 갇혀.. 2-juhyun-2.tistory.com 이번에는 Burp Suite를 활용해서 ssl 암호화된 google 사이트를 접속해..

작업환경 java jre 설치 burp proxy 설치 VMware 설치 metasploitable 리눅스 설치 metasploitable 리눅스 설치 후 vmware에서 오픈!!! id : msfadmin pw : msfadmin 로그인해주기 하다보면 마우스가 갇혀버리는 당황 + 화남 + 둥절 의 순간이 오지만 Ctrl + Alt 로 탈출!!!!!!! ifconfig로 주소 확인 웹브라우저에다가 나온 주소 치기 그럼 metasploitable2 보입니다. 혹시 보이지 않는다면~ cmd 창에서 먼저 ifconfig로 확인한 ip주소로 ping 해보기 아마 저렇게 안나올텐데요!! 그런 경우에는 vmware로 가셔서 nat로 설정되어있는 지 확인해주세요:) bridge로 되어있는 경우에는 당연히 인터넷과 통..

Proxy의 개념 두 개의 호스트 존재하고 그 사이에 존재하는 것이 바로 Proxy 입니다. 사실 proxy는 좋은 말로 하면 중계하는 역할, 나쁜 말로 하면 훔쳐보는 놈 이라고 할 수 있죠!!! history 관리, 캐싱 등이 가능합니다. 예를 들어 회사 내부에서 외부로 나갈 때 외부에 대한 인터넷 비용이 크기 때문에 동일한 요청이 들어온다면 history에서 보고 proxy에서 바로 return 해주는 것도 가능합니다. 시간이 지나면서 모니터링 기능으로 발전하게 됩니다. 현재는 내 pc 안에 즉 하나의 공간 안에 들어있는 local proxy인데 나가는 데이터에 대한 제어, 들어오는 데이터에 대한 제어가 가능 이걸 우리가 intercept한다고 합니다. 그래서 Burpsuite에서 보면 Interce..

Burpsuite를 활용해서 proxy에 대해 다루고 있습니다. 다음 포스팅을 차례차례 공부하고 오면 더 이해하기 쉬울 거에요. 2021/01/20 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] HTTP, URI, 요청 및 응답 구조 2021/01/20 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] Burpsuite를 이용한 요청/응답 구조 확인 2021/01/20 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] Burpsuite를 이용한 요청 파라미터 조작 이번에는 가상머신에서 proxy를 설정해보려고 합니다. @Attacker Burpsuite Proxy 설정 1. Proxy Listeners 포트를 확인 2. 브라우저에 Proxy를 사용하도록..

클라이언트-서버 간의 요청 및 응답 구조 파악에 대해 알고 싶으면 다음 포스팅 참고!! 2021/01/20 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] HTTP, URI, 요청 및 응답 구조 [보안] HTTP, URI, 요청 및 응답 구조 HTTP(HyperText Transfer Protocol) html과 같은 문서를 교환하기 위한 규약 요청(Request)/ 응답(Response) 구조 Stateless (무상태) = Sessionless = 세션, 연결을 유지하지 않는다. 동일한 클라이언트가 요청해.. 2-juhyun-2.tistory.com 그리고 지난 번에는 BurpSuite를 사용해서 요청, 응답 구조에 대해 확인해봤습니다. 2021/01/20 - [IT 일기 (상반기)..