3. 웹 애플리케이션 취약점 진단136 [비박스를 활용한 웹 취약점 진단] 1-1. 인젝션 [HTML 인젝션(GET)] 인젝션이란? - 공격자가 악의적으로 데이터를 주입하고 웹 애플리케이션에서 이를 데이터베이스의 정상적인 쿼리의 일부로 인식해서 정상쿼리와 함께 악의적인 쿼리를 수행함으로써 발생하는 취약점으로, 데이터를 입력받거나 DB정보를 요청하는 곳에 공격한다. 유형으로는 SQL인젝션, LDAP 인젝션, HTML 인젝션, OS 커맨드 인젝션 등이 있다. 대표적인 SQL 인젝션은 데이터베이스에 악의적인 쿼리로 요청하여 DB의 내용이 노출될 수 있다. HTML인젝션은 취약한 매개변수에 악의적인 HTML 코드를 삽입하는 공격이다. 보통 HTML 태그를 삽입해서 사용자가 요청한 연결 페이지에 의도치 않은 내용을 보게하거나 악성 사이트로 이동시킨다. Reflected 반사 기법은 URL에 악의적인 HTML 태그를 삽입해서 사용자.. 2023. 12. 11. Burp Suite를 사용한 웹 애플리케이션 진단 시 기본 설정 TIP 웹 사이트를 진단하면서 Burp Suite를 처음 사용할 때 어느정도 설정을 해두면 편리하다. 실무를 진행하면서 Burp Suite를 실행하고 어떠한 설정을 먼저 진행했는지 TIP을 공유하려고 한다. 1. Basic Settings - 편하게 보기 우선적으로 본인은 밝은 화면은 오래 보면 눈이 아파 좋아하지 않는다. 그런 경우 설정 - User Interface - Display에서 Theme를 Dark로 설정하면 어두워진 화면으로 볼 수 있다. 또한, Font Size를 조절하면 글자 크기를 키울 수 있다. 추가적으로 User Interface - Inspector and message editor 탭에 가면 프록시를 잡아 HTTP 요청 및 응답값을 볼때 글자 폰트를 변경할 수 있다.( Display에.. 2023. 12. 11. [비박스를 활용한 웹 취약점 진단] 0. 환경 구성 우선 칼리리눅스와 버프슈트를 설치하고 설정해주었다. 칼리 리눅스의 기본 아디와 비번은 kali,kali 이다. 칼리 리눅스 네트워크 설정은 호스트 전용 어댑터로 설정하고. ifconfig를 눌러 bee box와 같은 네트워크 대역대인지 확인하자. 버프 슈트의 프록시 탭에서 Intercept is on이 활성화 된 상태면 http 요청 및 응답 세션을 받는다. 가로챈 요청을 전송하려면 옆의 Forward 버튼, 전송하지 않으려면 Drop 버튼을 누르면 된다. Intercept is on 버튼을 한번 더 누르면 off가 된다. 버프 슈트에서 주로 사용하는 탭은 Proxy, Intruder, Repeater 인데 거의 Proxy만 쓴다고 보면 된다. Action 버튼을 누르거나 세션 내용에 마우스 우클릭을 하.. 2023. 12. 11. Lord Of SQLInjection 워게임 풀이 - [1문제] HTML 삽입 미리보기할 수 없는 소스 마이크 잡음이 심하네요.. 2019. 11. 30. 이전 1 ··· 31 32 33 34 다음
