본문 바로가기

전체보기95

웹 애플리케이션 사전조사 및 스캐닝(2) - ZAP(Zed Attack Proxy) ※ 본 포스팅은 '웹 해킹 입문 - 조쉬 파울리 / BJPUBLIC'의 내용을 참고하였습니다. 웹 애플리케이션 스캐너가 애플리케이션의 취약점을 자동으로 찾는 것과 Nessus가 웹서버의 설정이 잘못된 것이나 빠뜨린 패치를 찾는 방식은 비슷하다.대개의 웹 애플리케이션 스캐너는 웹 프록시와 같이 브라우저와 웹 애플리케이션의 중간에 자리잡으며, Burp Suite와 ZAP처럼 큰 도구모음의 일부 기능으로 구현되어 있다.웹 스캐너는 다듬어진 입력값을 애플리케이션에 보내고 그 응답값을 분석하여 알려진 취약점 징후를 찾아본다.또한 웹 애플리케이션의 입력 필드에 요청내용을 수백가지로 입력하여 취약점의 시그니처 유형을 확인하는게 보통이다. 웹 스캐너(Burp Suite Professional, ZAP 등과 같은)가 인.. 2015. 4. 14.
웹 애플리케이션 사전조사 및 스캐닝(1) - Burp Suite ※ 본 포스팅은 '웹 해킹 입문 - 조쉬 파울리 / BJPUBLIC'의 내용을 참고하였습니다. 웹 애플리케이션을 사전조사하고 스캔하는 단계에서는 웹 애플리케이션을 구성하는 자원(페이지, 파일, 디렉토리, 링크, 이미지 등)에 대한 상세한 정보를 얻을 수 있다.이러한 정보는 이후 웹 애플리케이션을 공격할 때 매우 중요한 정보로 사용된다.웹 애플리케이션을 사전조사하는 방법에는 여러 가지가 있지만, 그 중 목표물을 공격하는 가장 훌륭한 방법은 "애플리케이션이 어떻게 동작하는지 완전히 이해"하는 것이다.- 데이터의 진입지점 확인 (HTML 입력 필드 - 폼 필드, 숨겨진 필드, 드롭다운 박스, 라디오 버튼 목록 등)- HTTP 헤더, HTTP 쿠키, URL 질의 검사- 클라이언트 측 HTML과 JavaScrip.. 2015. 4. 8.
웹 해킹의 기초 - 테스트 환경 설정하기 ※ 본 포스팅은 '웹 해킹 입문 - 조쉬 파울리 / BJPUBLIC'의 내용을 참고하였습니다. 웹 해킹 실습을 위해 가상머신 위에 '칼리 리눅스(Kali Linux)'를 설치했다.칼리 리눅스는 데비안(Debian) 기반의 리눅스로 보안을 지향하는 고급 운영체제로 널리 받아들여지고 있다.개발이 중단된 '백트랙(BackTrack)'의 최신버전으로 생각하면 될 것 같다.칼리 리눅스는 수백 가지의 전문적인 해킹 도구를 갖고 있어 사전조사, 디지털 포렌식, 퍼징, 오류 탐색 등 수많은 해킹 기술을 시연하는 것이 가능하다.칼리 리눅스는 다음의 주소에서 다운로드할 수 있다.Kali Linux - https://www.kali.org/downloads/ 목표로 공격할 웹 애플리케이션은 'DVWA(Damn Vulnera.. 2015. 4. 7.
2015 세계 보안 엑스포 (SECON 2015) 2015년 3월 20일.기회가 생겨 '세계보안엑스포 2015'에 다녀왔다.세계보안엑스포 2015는 2015. 03. 18(수) ~ 20(금) 동안 일산 킨텍스(KINTEX) 에서 열렸다.자세한 행사 내용은 홈페이지를 참고. (http://www.seconexpo.com/2015/) 홈페이지에서 미리 참관등록을 신청하면 무료지만, 현장에서 직접 등록하면 입장료가 15,000원이다.하지만 실제 현장에서 초대권을 보여주거나 예약자 명단에서 조회가 되지 않더라도 대부분 무료로 들여보내주는 분위기였다. 보안과 관련된 다양한 업체들이 부스에서 자신들의 기술을 자랑하고 있었다.생각보다 많은 사람들이 와있었고, 여타 전시회와 크게 다르지 않은 분위기였다.곳곳에 체험관이 위치해, 다양한 체험을 통해 특정 기업의 기술을 .. 2015. 3. 26.

티스토리툴바