[태그:] 모의해킹

모의해킹과 관련된 글입니다.

  • 신안 퍼플섬 둘러보기

    카테고리: 여행과 사진 | 작성일:

    5일 간의 길다면 길고 짧다면 짧은 출장길의 마지막 날인 금요일 오후 4시경. 옆지기와 조우하기로 약속한 목포로 차를 몰았다. 한시간 쯤 뒤 옆지기와 조우한 뒤 저녁식사를 마치고 목포에서 1박을 한 다음 토요일 오전 일찍 신안의 퍼플섬으로 향했다. 신안 퍼플섬 (안좌도, 반월도, 박지도) 신안의 퍼플섬은 2007년에 두 사람이 나란히 겨우 걸을 수 있는 목교로 안좌도와 반월도 그리고 박지도가 연결되고 2015년 전라남도에서 실시한 "가고 싶은 섬" 지원사업에 응모하여 선정된 후 마을 주민들이 뜻을 모아 섬에 많이 자생하는 보랏빛 …

  • hping3 명령어 사용법 및 포트스캔/DOS 공격 테스트 방법

    카테고리: 정보보호 | 작성일:

    hping은 네트워크에 존재하는 서버, PC, 네트워크 장비가 살아 있는지를 확인하기 위해 사용하는 ping 명령어보다 다양한 기능을 제공하는 명령어다. hping 명령은 서버 및 네트워크의 환경을 분석하거나 공격할 수 있는 패킷 생성기이자 분석도구다. 몇몇 버전이 있지만 현재 사용되는 최신 버전은 hping3다. hping3의 사용법을 몇가지 정리해 본다. 1. icmp ping hping3는 ping 명령어 처럼 icmp 프로토콜을 이용해 특정 IP에 대해 장비가 살아있는지...죽어 있는지를 확인할 수 있다. root@kali: …

  • [모의해킹]CSRF 취약점 공격 실습하기 -DVAW

    카테고리: 정보보호 | 작성일:

    CSRF(Cross Site Request Forgery) 취약점은 번역이 조금 애매하다. "사이트 간 요청 위조" 정도로 번역한다. 이 취약점은 GET 또는 POST 요청을 서버가 받았을 때 해당 요청이 변조된 것이 아닌지를 검사하는 코드가 서버 사이드에서 수행되지 않은 채 요청을 그대로 실행할 때 발생할 수 있는 취약점의 통칭이다. DVWA에서는 비밀번호 변경 페이지를 예로 들어 실습을 할 수 있도록 해준다. 위의 비밀번호 페이지를 가만히 들여다 보면 몇가지를 유추할 수 있다. 먼저 현재의 비밀번호를 물어보지 않고 변경할 새 비 …

  • [모의해킹] Command Injection 실습하기 – DVWA Command Injection

    카테고리: 정보보호 | 작성일:

    커맨드 인젝션은 SQL 인젝션 만큼이나 위험한 취약점이다. SQL 인젝션은 일반적으로 DB의 데이터가 유출될 가능성이 높은 취약점이며 커맨드 인젝션은 서버 전체의 통제권을 해커에게 빼앗길 수도 있는 취약점이기 때문에 일반적으로 SQL인젝션보다 더 위험하다고 볼 수도 있다. 커맨드 인젝션은 웹페이지에서 이용자에게 입력받거나 별도로 생성한 정보를 서버측의 운영체제 명령어와 결합하여 실행할 때 발생할 수 있는 취약점이다. DVWA의 Command Injection 실습 페이지에서는 다음과 같은 예를 들어준다. DVWA 명령어 인젝션 실습 …

  • [모의해킹]블라인드 SQL 인젝션 실습하기 – DVWA Blind SQL Injection – Low Level

    카테고리: 정보보호 | 작성일:

    블라인드SQL인젝션은 보통의 SQL 인젝션보다 더 어렵다. 당연히 SQL 인젝션이 유행하면서 많은 개발자들이 이에 경각심을 갖기 시작했고 시큐어코딩을 적용했다. 하지만 해커들의 열정은 웹사이트 개발자보다 월등히 높다. 해커들은 손쉬운 SQL인젝션이 통하지 않지만 제목에서도 알 수 있듯.. 깜깜한 어둠 속에서 손을 더듬어 가며 손에 닿는 감촉으로 무엇인가를 인식할 수 있듯.. DB에 접근할 것으로 추측되는 화면만 있으면 조회 결과가 화면에 보이지 않더라도 화면 조작의 결과가 화면에 표현되는 방식에 따라 그 결과를 추측하여 DB에 접 …

  • SQL인젝션 실습 – SQL injection – Medium Level

    카테고리: 정보보호 | 작성일:

    지난 번에 설치한 웹 해킹을 실습할 수 있는 DVWA로 이런 저런 테스트를 하고 있다. 그 테스트 중 두번째가 SQL인젝션인데.. 일단 SQL인젝션 취약점이 발견되면 DB에 저장되어 있는 기업의 주요 기밀은 물론 고객의 개인정보 등 매우 치명적인 정보가 유출될 가능성이 크다. SQL 인젝션 (SQL Injection) 이란 SQL인젝션은 이용자에게 입력받은 다양한 조건 혹은 정보를 이용해 DB에서 정보를 조회해 이용자의 웹 브라우저에 출력하는 과정에서 발생할 수 있는 소스코드의 취약점을 공격하는 해킹기술이다. 웹서버에서는 이용자의 …

  • 웹 모의해킹 실습환경 구축

    카테고리: 정보보호 | 작성일:

    정보보안전문가를 꿈꾸는 학생이나 직장인들이 가장 관심있는 분야 중 하나가 바로 웹해킹이다. 인터넷에 널리고 널린 것이 웹사이트이고 그 웹사이트를 뚫고 침투하는 것이 멋있어 보이기 때문이 아닐까 한다. 그런데 분명히 말하지만 그런 행위는 그냥  "도둑질"과 같다.  아니 그런 행위를 하는 사람은 그냥 도둑놈이고 절도범이며 무단침입 현행범이다. 한마디로 범법자다. 하지만 정보보안전문가라면 웹해킹도 분명히 배워야할 분야 중 하나다. 경찰이 도둑놈을 잡기위해서 도둑놈들의 습성과 기술을 이해하고 있어야 하듯 웹서버의 해킹을 방어하고 해커를 …

  • 버프스위트에서 SSL이 적용된 웹사이트의 HTTP Proxy 환경 설정하기

    카테고리: 정보보호 | 작성일:

    HTTP PROXY 란? 웹 모의해킹에 필수적인 도구가 바로 프락시 툴이다. HTTP 프록시(Proxy)는 서버의 일종으로서 웹브라우저(IE, 에지, 크롬, 사파리 등)와 웹서버(Apache, Tomcat, NGINX 등)가 주고 받는 요청(Request)과 응답(Response)를 중간에 가로채고 분석할 수 있으며 전달 경로를 변경하거나 전달되는 값을 수정 및 변조할 수 있는 도구다. 때문에 HTTP Proxy 툴을 이용하면 암호화 되지 않은채 웹브라우저와 웹서버가 주고 받는 모든 정보를 가로채 볼 수 있다. 당연히 보안 취약점 …

  • 칼리리눅스의 워드프레스 취약점 점검 도구 (wpscan) 사용기

    카테고리: 정보보호 | 작성일:

    정보보안 관련 인증심사를 진행할 때 가장 어려운 점은 바로 심사 대상 기관의 정보자산에 대한 정보의 부족이다.  내가 참여한 인증심사는 평균적으로 4일에서 5일간 진행되는데 관리적 보안 측면 뿐만 아니라 기술적 보안 측면에 큰 비중을 두고 진행된다. 이는 우리나라의 특이한 문화...즉 서류에 대한 불신에 기인한다고 생각된다. 하다못해 입사서류에 첨부되는 이력서와 자기소개서 마저도 허풍과 과장이 난무하여 진실과는 거리가 먼 경우가 태반일 정도로 거짓(?)이 난무하는 나라가 바로 우리나라 아닌가... 개인적인 것을 떠나 공적인 측면에서 …

  • 칼리리눅스 업데이트 시 “다음 서명이 올바르지 않다”는 오류 발생

    카테고리: 운영체제 | 작성일:

    예전 포스트에서 칼리 리눅스(Kali Linux)를 최신으로 업데이트 하기 위해 apt-get update 명령을 실행했더니 리포지토리가 변경되어 업데이트 패키지를 다운로드 받지 못하는 문제에 대해 언급했다. 그리고 리포지토리 오류를 해결하기 위해 새로운 리포지토리의 URL을 찾아 변경하는 방법을 포스팅 했었다. (보러가기 - http://blogger.pe.kr/614) 그런데 오늘은 apt-get update 명령을 실행했더니 다음과 같은 에러 메시지가 출력되면서 update가 실패했다. root@kali:~# apt-get u …