겉바속촉

지난 번에는 기능레벨의 접근통제에 대해서 알아봤습니다. 2021/02/08 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] 접근제어 (feat. 기능레벨의 접근통제) [보안] 접근제어 (feat. 기능레벨의 접근통제) 접근제어 (Access Control) 화면에서의 접근제어(Presentaion layer access control) ⇒ 권한 있는 사용자에게만 기능 버튼과 링크를 제공 기능 레벨에서의 접근제어(Business layer access control) ⇒ 권한 있는.. 2-juhyun-2.tistory.com 작업중이던 환경들은 지난포스팅과 동일하게 진행하고 있습니다. 참고해주세요:) 이번에는 데이터레벨의 접근통제에 대해서 알아보겠습니다. WebGoat 페이지에서 Acce..

접근제어 (Access Control) 화면에서의 접근제어(Presentaion layer access control) ⇒ 권한 있는 사용자에게만 기능 버튼과 링크를 제공 기능 레벨에서의 접근제어(Business layer access control) ⇒ 권한 있는 사용자의 요청에 대해서만 처리를 제공 데이터 레벨에서의 접근제어(Data layer access control) ⇒ 권한 범위 내의 데이터에 대해서만 접근을 허용 ex) 회원 정보를 조회 서비스 조회 신청 페이지 조회 처리 페이지 form.jsp search.jsp search.jsp?id=1234 회원ID: 1234 ---------------------------> 1) 로그인 여부를 확인 (= 인증 여부를 확인) 2) 고객ID가 전달되었..

Burp Suite_XSS, 프록시, repeater 작업 전의 설정은 지난 번과 동일합니다. 2021/02/02 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] Burp Suite_프록시, repeater [보안] Burp Suite_프록시, repeater Burp Suite를 켜볼까요?~ VMWARE에서는 METASPLOITABLE을 돌리고 있습니다:) 프록시 설정을 위해서 다음과 같이 OPTIONS탭에서 확인해주세요. 웹 브라우저에서 프록시 설정해주기!! 그리고 되도록이면 server 2-juhyun-2.tistory.com 이번에는 xss탭에서 연습을 해보도록 할게요 test1을 입력하고 메세지는 hello~라고 입력했습니다. 우클릭 - Send to Repeater 클릭 Re..

다음 사이트로 가서 다운받아주세요!! https://sourceforge.net/projects/dirbuster/ DirBuster Download DirBuster for free. DirBuster is a multi threaded java application designed to brute force directories and files names on web/application servers. sourceforge.net exe파일 설치 하셨다면 클릭해서 실행해주기!!! 설치 끝나고 실행하기 설치된 경로 따라 간 후에 복사 cmd 창 켜주고 들어가세요 자바 베이스로 되어있습니다. 다음 명령어 입력해서 실행시켜주세요. C:\Program Files (x86)\DirBuster>java -j..

지난번에 PROXY에 대해 더 자세하게 알 수 있는 실습을 해봤습니다. 2021/01/28 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] Proxy 실습 (feat.burpsuite, metasploitable) [보안] Proxy 실습 (feat.burpsuite, metasploitable) 작업환경 java jre 설치 burp proxy 설치 VMware 설치 metasploitable 리눅스 설치 metasploitable 리눅스 설치 후 vmware에서 오픈!!! id : msfadmin pw : msfadmin 로그인해주기 하다보면 마우스가 갇혀.. 2-juhyun-2.tistory.com 이번에는 Burp Suite를 활용해서 ssl 암호화된 google 사이트를 접속해..

HTTP 개념 인터넷에서는 FTP, Telnet, HTTP, SMTP, POP 등 여러 종류의 프로토콜이 사용됨 웹에서 가장 많이 사용하는 프로토콜인 HTTP(Hypertext Transfer Protocol)는 문서들 간의 상호 연결을 통해 다양한 텍스트, 그래픽, 애니메이션을 화면에 보여주고, 사운드를 재생할 수 있게 해줌 HTTP에 관한 RFC 문서 HTTP 1.0 : RFC ftp://ftp.ietf.org/rfc/rfc1945.txt 메소드는 GET, HEAD, POST 방식 지원 문서에 몇 개의 그림이 있든 상관없이 HTML 문서를 먼저 전송받은 후 연결을 끊고 나서 다시 연결하여 그림을 전송 받음 HTTP 1.1 : RFC ftp://ftp.ietf.org/rfc/rfc2616.txt 메소드..

Proxy의 개념 두 개의 호스트 존재하고 그 사이에 존재하는 것이 바로 Proxy 입니다. 사실 proxy는 좋은 말로 하면 중계하는 역할, 나쁜 말로 하면 훔쳐보는 놈 이라고 할 수 있죠!!! history 관리, 캐싱 등이 가능합니다. 예를 들어 회사 내부에서 외부로 나갈 때 외부에 대한 인터넷 비용이 크기 때문에 동일한 요청이 들어온다면 history에서 보고 proxy에서 바로 return 해주는 것도 가능합니다. 시간이 지나면서 모니터링 기능으로 발전하게 됩니다. 현재는 내 pc 안에 즉 하나의 공간 안에 들어있는 local proxy인데 나가는 데이터에 대한 제어, 들어오는 데이터에 대한 제어가 가능 이걸 우리가 intercept한다고 합니다. 그래서 Burpsuite에서 보면 Interce..

Tools - Options 메뉴에서 Local proxy로 포트 번호 확인 8081로 request가 가야합니다. 그래서 internet explorer에서 다음 표시한 부분 역시 8081로 되어있어야겠쥬 그리고 주소 입력 후에 Paros에서 확인 그럼 다음과 같이 뜨는 것을 확인할 수 있습니다!!! 그리고 다음과 같이 Trap request 체크 후에 위의 IE페이지에서 login버튼 클릭 그럼 서버쪽으로 요청이 가고 요청 본문이 나옵니다. 값을 임의로 다음과 같이 수정했습니다. 이 수정한 값을 보내려면 Continue 클릭!!! ( BurpSuite에서는 Forward 클릭했었던 것 기억나시죠?~)

Burpsuite를 활용해서 proxy에 대해 다루고 있습니다. 다음 포스팅을 차례차례 공부하고 오면 더 이해하기 쉬울 거에요. 2021/01/20 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] HTTP, URI, 요청 및 응답 구조 2021/01/20 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] Burpsuite를 이용한 요청/응답 구조 확인 2021/01/20 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] Burpsuite를 이용한 요청 파라미터 조작 이번에는 가상머신에서 proxy를 설정해보려고 합니다. @Attacker Burpsuite Proxy 설정 1. Proxy Listeners 포트를 확인 2. 브라우저에 Proxy를 사용하도록..