모의해킹85 [비박스를 활용한 웹 취약점 진단] 1-1. 인젝션 [HTML 인젝션(GET)] 인젝션이란? - 공격자가 악의적으로 데이터를 주입하고 웹 애플리케이션에서 이를 데이터베이스의 정상적인 쿼리의 일부로 인식해서 정상쿼리와 함께 악의적인 쿼리를 수행함으로써 발생하는 취약점으로, 데이터를 입력받거나 DB정보를 요청하는 곳에 공격한다. 유형으로는 SQL인젝션, LDAP 인젝션, HTML 인젝션, OS 커맨드 인젝션 등이 있다. 대표적인 SQL 인젝션은 데이터베이스에 악의적인 쿼리로 요청하여 DB의 내용이 노출될 수 있다. HTML인젝션은 취약한 매개변수에 악의적인 HTML 코드를 삽입하는 공격이다. 보통 HTML 태그를 삽입해서 사용자가 요청한 연결 페이지에 의도치 않은 내용을 보게하거나 악성 사이트로 이동시킨다. Reflected 반사 기법은 URL에 악의적인 HTML 태그를 삽입해서 사용자.. 2023. 12. 11. [비박스를 활용한 웹 취약점 진단] 0. 환경 구성 우선 칼리리눅스와 버프슈트를 설치하고 설정해주었다. 칼리 리눅스의 기본 아디와 비번은 kali,kali 이다. 칼리 리눅스 네트워크 설정은 호스트 전용 어댑터로 설정하고. ifconfig를 눌러 bee box와 같은 네트워크 대역대인지 확인하자. 버프 슈트의 프록시 탭에서 Intercept is on이 활성화 된 상태면 http 요청 및 응답 세션을 받는다. 가로챈 요청을 전송하려면 옆의 Forward 버튼, 전송하지 않으려면 Drop 버튼을 누르면 된다. Intercept is on 버튼을 한번 더 누르면 off가 된다. 버프 슈트에서 주로 사용하는 탭은 Proxy, Intruder, Repeater 인데 거의 Proxy만 쓴다고 보면 된다. Action 버튼을 누르거나 세션 내용에 마우스 우클릭을 하.. 2023. 12. 11. 실무를 위한 모의해킹 관련 정보 공유 + 웹 애플리케이션 점검 시 TIP 1. 모의해킹 절차 진단 시 절차는 사전 협의 - 정보 수집 - 위협 모델링 - 취약점 분석 - 침투 - 내부 침투 단계로 정의 2. 모의해킹과 크래킹의 큰차이점 크래킹은 악성 행위이며 불법적으로 진행, Drive by Download 형태로 공격이 진행 모의해킹은 합법적으로 진행하며 웹서비스 및 인프라를 대상으로 보통 진행 3. 모의해킹 시 중요한 점 - 시나리오를 기반으로 진행할 것(쇼핑몰 금액 조작의 경우 금액뿐 아닌 쿠폰, 적립금 등에 대한 부분을 타깃으로 해볼것) - 항상 넓게 보는 시야를 가지고 모의해킹 작업을 진행하는 것이 중요하다. - 모의해킹하는 대상 서비스(게임, 금융 등)에 대한 이해도를 넓히면 다각적으로 공격을 시도할 수 있다. - 진단 마무리 후 타 업체에 의해 취약점 발견 시? .. 2023. 12. 11. window defender 등 백신 우회 백도어 - APT(지속 위협 지능형) 앱솔루트 제로 2020. 2. 27. 이전 1 ··· 18 19 20 21 22 다음
