본문 바로가기

정상을향해48

웹 애플리케이션 사전조사 및 스캐닝(2) - ZAP(Zed Attack Proxy) ※ 본 포스팅은 '웹 해킹 입문 - 조쉬 파울리 / BJPUBLIC'의 내용을 참고하였습니다. 웹 애플리케이션 스캐너가 애플리케이션의 취약점을 자동으로 찾는 것과 Nessus가 웹서버의 설정이 잘못된 것이나 빠뜨린 패치를 찾는 방식은 비슷하다.대개의 웹 애플리케이션 스캐너는 웹 프록시와 같이 브라우저와 웹 애플리케이션의 중간에 자리잡으며, Burp Suite와 ZAP처럼 큰 도구모음의 일부 기능으로 구현되어 있다.웹 스캐너는 다듬어진 입력값을 애플리케이션에 보내고 그 응답값을 분석하여 알려진 취약점 징후를 찾아본다.또한 웹 애플리케이션의 입력 필드에 요청내용을 수백가지로 입력하여 취약점의 시그니처 유형을 확인하는게 보통이다. 웹 스캐너(Burp Suite Professional, ZAP 등과 같은)가 인.. 2015. 4. 14.

웹 애플리케이션 사전조사 및 스캐닝(1) - Burp Suite ※ 본 포스팅은 '웹 해킹 입문 - 조쉬 파울리 / BJPUBLIC'의 내용을 참고하였습니다. 웹 애플리케이션을 사전조사하고 스캔하는 단계에서는 웹 애플리케이션을 구성하는 자원(페이지, 파일, 디렉토리, 링크, 이미지 등)에 대한 상세한 정보를 얻을 수 있다.이러한 정보는 이후 웹 애플리케이션을 공격할 때 매우 중요한 정보로 사용된다.웹 애플리케이션을 사전조사하는 방법에는 여러 가지가 있지만, 그 중 목표물을 공격하는 가장 훌륭한 방법은 "애플리케이션이 어떻게 동작하는지 완전히 이해"하는 것이다.- 데이터의 진입지점 확인 (HTML 입력 필드 - 폼 필드, 숨겨진 필드, 드롭다운 박스, 라디오 버튼 목록 등)- HTTP 헤더, HTTP 쿠키, URL 질의 검사- 클라이언트 측 HTML과 JavaScrip.. 2015. 4. 8.

웹 해킹의 기초 - 테스트 환경 설정하기 ※ 본 포스팅은 '웹 해킹 입문 - 조쉬 파울리 / BJPUBLIC'의 내용을 참고하였습니다. 웹 해킹 실습을 위해 가상머신 위에 '칼리 리눅스(Kali Linux)'를 설치했다.칼리 리눅스는 데비안(Debian) 기반의 리눅스로 보안을 지향하는 고급 운영체제로 널리 받아들여지고 있다.개발이 중단된 '백트랙(BackTrack)'의 최신버전으로 생각하면 될 것 같다.칼리 리눅스는 수백 가지의 전문적인 해킹 도구를 갖고 있어 사전조사, 디지털 포렌식, 퍼징, 오류 탐색 등 수많은 해킹 기술을 시연하는 것이 가능하다.칼리 리눅스는 다음의 주소에서 다운로드할 수 있다.Kali Linux - https://www.kali.org/downloads/ 목표로 공격할 웹 애플리케이션은 'DVWA(Damn Vulnera.. 2015. 4. 7.

3. 응용프로그램과의 통신 1. 디바이스 스택 (Device Stack)윈도우는 하나의 디바이스를 여러 개의 디바이스로 나누어서 생각하려 한다. 이 때 여러 개의 디바이스들은 그들끼리 상하 관계를 유지하는 모습으로 스택을 구성하고 있다. 이를 ‘디바이스 스택(Device Stack)’이라고 부른다.디바이스 스택은 최소한 2개의 계층을 가지도록 설계되는데, 아래 그림에서 보게되는 ‘물리층’과 ‘기능층’이다. 모든 추상적인 디바이스는 항상 최소한 이렇게 ‘물리층(PDO)’과 ‘기능층(FDO)’으로 구분된다. 이렇게 나누는 이유는 모든 디바이스는 CPU에 소개되기 위해서는 반드시 버스에 연결되어야 한다는 사실 때문이다.따라서 버스에 연결되는 특징으로 인해 디바이스 자체가 동작하려면 우선 버스로부터 해당 디바이스가 동작하도록 허용되는 과.. 2015. 3. 9.

이전 1 2 3 4 5 6 ··· 12 다음

티스토리툴바