본문 바로가기

Kali Linux3

36. 웹 모의해킹 실습 (3) : 파일 업로드, Insecure CAPTCHA 파일 업로드(File Upload)  개념 웹 애플리케이션에 파일 업로드 기능이 존재하고, 업로드 파일에 대한 필터링 조치가 미흡하여, 서버 측에서 실행될 수 있는  서버 사이드 스크립트 파일(asp, jsp, php 파일 등)을 업로드가 가능해서 발생할 수 있는 취약점을 의미한다.  이때, 게시판 내에 첨부파일이 업로드된 파일 경로를 확인하고, 해당 경로에 접근한 후 서버 상의 웹 쉘을 실행하여, 시스템 내부 명령어를 실행하거나 권한을 획득하고, 외부와 연결하여 시스템을 제어할 수 있다. 해당 취약점을 통해 서버에 영향을 미쳐서 권한 상승, 정보 유출,악성코드 배포 등의 여러 보안 사고가 발생할 수 있으므로, 매우 크리티컬 한 취약점이라고 할 수 있다. 실습(Low Level)아래는 Low Level.. 2024. 10. 27.
35. 웹 모의해킹 실습 (2) : CSRF, File Inclusion CSRF(Cross-Site Request Forgery)   개념 사이트 간 요청 위조라는 의미로 사용 자(클라이언트)의 권한을 이용하여, 공격자가 의도한 요청을 웹 애플리케이션의 보내는 공격이다.  즉, 사용자의 신뢰를 받는 웹사이트에서 사용자가 의도하지 않은 요청을 보냄으로써 악성 행위를 실행한다. 보통 사용자가 웹사이트에 로그인한 상태(세션 쿠키를 유지 중)에서 공격자가 조작한 악성 링크를 클릭하면, 공격자는 사용자의 세션을 이용해 사용자의 권한으로 악의적 요청을 서버로 전송할 수 있는 것이다. 즉, 링크나 페이지를 클릭하면, 공격자의 악의적 요청이 자동으로 웹사이트로 전송된다. 이때, 요청은 피해자의 세션 정보와 함께 전송되기 때문에 서버는 요청이 피해자로부터 온 것으로 판단하고, 해당 요청을 .. 2024. 9. 30.
34. 웹 모의해킹 실습 (1) : DVWA 환경 구성 및 Command injection, Brute Force 모의해킹은 우리가 직접 시나리오를 세우는 과정에서 취약점 진단의 매뉴얼로서 나와 있는 과정들도 당연히 활용할 수 있을 것이다.  하지만 그 밖에 여러 가지 도구를 사용하거나, 다른 사람들이 사용했던 기술들과 같이 여러 가지를 복합적으로 응용하여 이를 기반으로 여러 가지 방법들을 세운다고 할 수 있다.  즉 앞으로의 모의해킹 실습 과정에서는 여러 가지 고민을 하는 과정 또한 최대한 담아내고자 한다.   KALI LINUX(칼리 리눅스)   앞으로 DVWA를 기반으로 모의해킹 실습을 진행하기 위해서 칼리 리눅스를 활용할 예정이다. 개념 Kali Linux는 모의 해킹을 위한 리눅스 배포판으로, 보안 전문가들이 주로 사용하는 다양한 도구들이 기본적으로 설치된 상태로 제공된다.즉, 별도의 프로그램 설치 없이 바.. 2024. 9. 22.

티스토리툴바