3. 웹 애플리케이션 취약점 진단/비박스를 활용한 웹 애플리케이션 취약점 진단62 [비박스를 활용한 웹 취약점 진단] 1-1. 인젝션 [HTML 인젝션(GET)] 인젝션이란? - 공격자가 악의적으로 데이터를 주입하고 웹 애플리케이션에서 이를 데이터베이스의 정상적인 쿼리의 일부로 인식해서 정상쿼리와 함께 악의적인 쿼리를 수행함으로써 발생하는 취약점으로, 데이터를 입력받거나 DB정보를 요청하는 곳에 공격한다. 유형으로는 SQL인젝션, LDAP 인젝션, HTML 인젝션, OS 커맨드 인젝션 등이 있다. 대표적인 SQL 인젝션은 데이터베이스에 악의적인 쿼리로 요청하여 DB의 내용이 노출될 수 있다. HTML인젝션은 취약한 매개변수에 악의적인 HTML 코드를 삽입하는 공격이다. 보통 HTML 태그를 삽입해서 사용자가 요청한 연결 페이지에 의도치 않은 내용을 보게하거나 악성 사이트로 이동시킨다. Reflected 반사 기법은 URL에 악의적인 HTML 태그를 삽입해서 사용자.. 2023. 12. 11. [비박스를 활용한 웹 취약점 진단] 0. 환경 구성 우선 칼리리눅스와 버프슈트를 설치하고 설정해주었다. 칼리 리눅스의 기본 아디와 비번은 kali,kali 이다. 칼리 리눅스 네트워크 설정은 호스트 전용 어댑터로 설정하고. ifconfig를 눌러 bee box와 같은 네트워크 대역대인지 확인하자. 버프 슈트의 프록시 탭에서 Intercept is on이 활성화 된 상태면 http 요청 및 응답 세션을 받는다. 가로챈 요청을 전송하려면 옆의 Forward 버튼, 전송하지 않으려면 Drop 버튼을 누르면 된다. Intercept is on 버튼을 한번 더 누르면 off가 된다. 버프 슈트에서 주로 사용하는 탭은 Proxy, Intruder, Repeater 인데 거의 Proxy만 쓴다고 보면 된다. Action 버튼을 누르거나 세션 내용에 마우스 우클릭을 하.. 2023. 12. 11. 이전 1 ··· 13 14 15 16 다음
