Chapter 18 실전 모의해킹[END]

모의해킹/화이트해커 를 위한 웹 해킹의 기술 2022.02.27

================================================== !warning! 본 게시글은 본인의 학습기록을 위해 작성된 알려진 학습 기법 함부로 악의적으로 이용은 엄연히 불법 임으로 절대 시도하지 말 것이며 사고 발생 시 본인은 절대로 책임지지 않습니다! ================================================== 예고대로 마지막은 큐라레:마법도서관 하겠습니다. 최종 실습 1. 정보 수집 스샷. 1 -파라미터 값이 달라지는 것을 발견 2. SQL 인젝션 공격 스샷. 2 -‘을 입력했을 때 SQL 형식 관련 에러가 발생하는 것을 볼 수 있습니다. 1 sqlmap –u http://192.68.37.133/cat.php?id=1’ cs 스샷. 3..

Chapter 17 자바 역직렬화 취약점 공격

모의해킹/화이트해커 를 위한 웹 해킹의 기술 2022.02.27

================================================== !warning! 본 게시글은 본인의 학습기록을 위해 작성된 알려진 학습 기법 함부로 악의적으로 이용은 엄연히 불법 임으로 절대 시도하지 말 것이며 사고 발생 시 본인은 절대로 책임지지 않습니다! ================================================== 자바 역 직렬화 취약점 공격 개요 -저장되어 있는 바이트 스트림을 다시 객체로 만들어 원래의 데이터를 다시 불러오는 과정입니다. -aced0005라는 문자열은 직렬화된 데이터의 앞에 항상 나타나는 문자열로, 매직 바이트입니다. 자바 역 직렬화 취약점 공격 실습-저장되어 있는 바이트 스트림을 자시 객체 스샷. 1 – 전송되고 있는 파..

Chapter 16 알려진 취약점을 이용한 공격

모의해킹/화이트해커 를 위한 웹 해킹의 기술 2022.02.27

================================================== !warning! 본 게시글은 본인의 학습기록을 위해 작성된 알려진 학습 기법 함부로 악의적으로 이용은 엄연히 불법 임으로 절대 시도하지 말 것이며 사고 발생 시 본인은 절대로 책임지지 않습니다! ================================================== 하트 블리드 취약점 공격 실습 -하트 블리드 취약점을 이용하면 공격자는 웹 서버 호스트의 메모리를 읽을 수 있어 사용자의 로그인 정보 및 그 밖에 노출되면 안 되는 민감한 정보들을 탈취할 수 있습니다. 스샷. 1 -앞에 https와 8443 포트 번호붙이고 접속 해봅니다. 스샷. 2 1 python heartbleed.py cs 스..

Chapter 15 XXE 공격

모의해킹/화이트해커 를 위한 웹 해킹의 기술 2022.02.27

================================================== !warning! 본 게시글은 본인의 학습기록을 위해 작성된 알려진 학습 기법 함부로 악의적으로 이용은 엄연히 불법 임으로 절대 시도하지 말 것이며 사고 발생 시 본인은 절대로 책임지지 않습니다! ================================================== XXE 공격 개요 -XML 타입의 데이터가 웹 요청을 통해 전송되고, 서버에서 XML 외부 엔티티를 처리할 수 있도록 설정된 경우 발생할 수 있음 -사용자가 웹 어플리케이션으로 전달되는 XML 데이터를 직접 업로드하거나 수정할 수 있는 경우, 공격자는 외부 엔티티를 참조하는 XML 데이터를 전송하여 파일과 같은 서버 내부의 정보를 ..

Chapter 14. 접근 통제 취약점 공격

모의해킹/화이트해커 를 위한 웹 해킹의 기술 2022.02.26

================================================== !warning! 본 게시글은 본인의 학습기록을 위해 작성된 알려진 학습 기법 함부로 악의적으로 이용은 엄연히 불법 임으로 절대 시도하지 말 것이며 사고 발생 시 본인은 절대로 책임지지 않습니다! ================================================== 주말에도 작성 이어서 합니다 이 게시글 이후로 후기글 은 생략하겠습니다ōxō ~~이 게시글 이후로 후기글 은 생략하겠습니다ōxō~~ ===================================== Chapter 14. 접근 통제 취약점 공격 안전하지 않은 직접 객체 참조(IDOR 공격)-공격자가 요청 메시지의 URL이나 파라미터..

Chapter 13. 민감한 데이터 노출

모의해킹/화이트해커 를 위한 웹 해킹의 기술 2022.02.26

================================================== !warning! 본 게시글은 본인의 학습기록을 위해 작성된 알려진 학습 기법 함부로 악의적으로 이용은 엄연히 불법 임으로 절대 시도하지 말 것이며 사고 발생 시 본인은 절대로 책임지지 않습니다! ================================================== Chapter 13. 민감한 데이터 노출 HTTP 프로토콜에 의한 노출 스샷. 1 1 tcpdump –ni eth1 –A –s 0 tcp port 80 cs -eth1 네트워크 인터페이스를 통해 전달되는 요청 메시지와 응답 메시지 중 tcp 80 포트와 관련된 내용 만 표시해봅니다. 스샷. 2 -BWAPP > Clear Text H..

Chapter 12. 파일 업로드 공격

모의해킹/화이트해커 를 위한 웹 해킹의 기술 2022.02.26

================================================== !warning! 본 게시글은 본인의 학습기록을 위해 작성된 알려진 학습 기법 함부로 악의적으로 이용은 엄연히 불법 임으로 절대 시도하지 말 것이며 사고 발생 시 본인은 절대로 책임지지 않습니다! ================================================== Chapter 12. 파일 업로드 공격 파일 업로드 공격 개요-공격자가 웹 애플리케이션의 파일 업로드 기능을 이용하여 웹쉘 (웹을 통해 시스템 명령어를 실행할 수 있는 웹 페이지) 라고 하는 악성 파일을 업로드하고 시스템 명령어를 실행할 수 있습니다. 스샷. 1 -표시된 부분은 명령어를 입력받을 수 있는 폼인데 공격자가 명령어를 입..

Chapter 11. 파일 인클루전 공격

모의해킹/화이트해커 를 위한 웹 해킹의 기술 2022.02.26

================================================== !warning! 본 게시글은 본인의 학습기록을 위해 작성된 알려진 학습 기법 함부로 악의적으로 이용은 엄연히 불법 임으로 절대 시도하지 말 것이며 사고 발생 시 본인은 절대로 책임지지 않습니다! ================================================== Chapter 11. 파일 인클루전 공격 파일 인클루전 공격 개요-주로 PHP 애플리케이션을 대상으로 발생 됩니다. PHP 인클루드 기능 (include() 함수를 사용하여 다른 파일을 소스 코드에 직접 인클루드시킬 수 있는 기능) -호스트 내부의 파일이냐 외부 파일이냐에 따라 리모트 파일 인클루전 or 리모트 파일 인크루전으로 구..

Chapter 10. XSS 요청 변조(CSRF) 공격

모의해킹/화이트해커 를 위한 웹 해킹의 기술 2022.02.26

================================================== !warning! 본 게시글은 본인의 학습기록을 위해 작성된 알려진 학습 기법 함부로 악의적으로 이용은 엄연히 불법 임으로 절대 시도하지 말 것이며 사고 발생 시 본인은 절대로 책임지지 않습니다! ================================================== Chapter 10. XSS 요청 변조(CSRF) 공격 CSRF 공격 개요 – CSRF의 취약점의 공격 방법은 공격자가 피싱을 이용하여 공격 대상이 링크에 정상적인 접속하도록 하여 웹사이트의 어떤 기능을 실행하게 하는 것입니다. CSRF 공격 실습 스샷. 1 – DVWA → Vulnerability: CSRF에 패스워드 값으로 te..

Chapter 09. XSS 공격

모의해킹/화이트해커 를 위한 웹 해킹의 기술 2022.02.26

================================================== !warning! 본 게시글은 본인의 학습기록을 위해 작성된 알려진 학습 기법 함부로 악의적으로 이용은 엄연히 불법 임으로 절대 시도하지 말 것이며 사고 발생 시 본인은 절대로 책임지지 않습니다! ================================================== Chapter 09. XSS 공격 -서버의 취약점을 이용하여 자바스크립트로 클라이언트 공격을 의미합니다(ex:쿠키 탈취) -삽입한 코드가 언제 실행되는지에 따라 reflected 공격과 stored 공격으로 구분 가능 리플렉티드 XSS 공격 개요-요청 메시지에 입력된 스크립트 코드가 즉시 응답 메시지를 토해 출력되는 취약점, 주로 ..