반응형 모의해킹/웹해킹7 SSL 인증서 용도 목적 Openssl과 차이 SSL 인증서 Secure Sockets Layer 네트워크상의 데이터를 안전하게 전송할 수 있도록 하는 계층이다. SSL인증서는 웹서버와 웹브라우저간에 데이터를 안전하게 주고받을 수 있도록 해주는 역할을 한다고 보면된다. 데이터를 주고 받는 중간에 누군가가 데이터를 가로채더라도 암호화가 되어있기때문에 데이터 해독이 불가능하다. 그래서 주로 정적인 데이터를 주고 받는 곳보다는 동적인 데이터를 주고 받는 로그인 페이지, 회원가입 페이지 등에 SSL을 적용해서 사용 한다. 하지만 SSL 인증서 발급에는 비용이 발생하기 때문에 내부에서만 사용하는 웹서버에도 모두 공인 SSL인증서를 발급하기란 쉽지 않다. 그래서 Openssl 이라는 패키지를 이용해서 사설 SSL 인증서를 무료로 발급해서 사용 할 수 있다. 2024. 1. 19. FortiOS SSL VPN Directory Traversal 취약점 로그 분석 웹방화벽 탐지 CVE-2018-13379 웹방화벽 장비 모니터링 중 이상 이벤트 발견 탐지 룰명 : Directory Traversal ../ 문자열로 탐지된것으로 추정 User-Agent는 python-requests로 되어있다. 파이썬프로그램을 통한 요청인거 같다. /remote/fgt_lang?라는 문자열로 구글링을 해보았다. CVE-2018-13379 관련 FortiOS SSL VPN 취약점 내용과 동일하다. 취약점 원리 /remote/fgt_lang?lang 매개변수의 입력값 필터링이 잘 되어 있지 않아 발생하는 취약점이다. 입력값 검증이 미흡하여 공격자는 ../ 디렉터리 이동을 통해 sslvpn_websession파일에 접근한다. sslvpn_websession 파일은 VPN 계정정보가 담겨있는 평문파일이다. 조치 1. 공격자 IP .. 2023. 4. 25. 취약한 웹 모의해킹 환경 DVWA 및 APM 구축하기, 설치파일 웹 모의해킹 실습환경 DVWA(Damn Vulnerable Web Application) DVWA를 구성하기 위해서 APM 설치가 필요하다. APM은 (Apache / PHP / Mysql)의 묶음이라 생각하면 된다. 설치파일 ※설치파일 필요 시, 댓글 (압축해제 패스워드 공유) APM 설치 후 Apache 및 MySQL 실행 APM이 정상 설치가 되었다면, 주소창에 127.0.0.1을 입력하면 위와 같은 페이지가 뜬다. APM 설치경로에 DVWA 폴더를 옮겨준다. 경로 : D:\APM\APM_Setup\htdocs 경로 : D:\APM\APM_Setup\htdocs\DVWA\config config.inc.php.dist 파일명을 config.inc.php로 변경 (.dist만 제거) 'dv_passw.. 2023. 4. 24. 웹(Web) 취약점 진단 점검 방법 항목 28개 주요정보통신기반시설 기술적 취약점 분석 평가 방법 한국인터넷진흥원(KISA)에서 제공하는 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드 https://www.kisa.or.kr/2060204/form?postSeq=12&page=2 KISA 한국인터넷진흥원 www.kisa.or.kr (21년 3월 최신) 웹 파트 28개 항목 1. 버퍼 오버플로우 2. 포맷스트링 3. LDAP 인젝션 4. 운영체제 명령 실행 5. SQL 인젝션 6. SSI 인젝션 7. XPath 인젝션 8. 디렉터리 인덱싱 9. 정보 누출 10. 악성 콘텐츠 11. 크로스사이트 스크립팅 12. 약한 문자열 강도 13. 불충분한 인증 14. 취약한 패스워드 복구 15. 크로스사이트 리퀘스트 변조(CSRF) 16. 세션 예측 17. 불충분한 인가 18. 불충분한 세션 만료 19... 2023. 4. 1. [Web] Sqlinjection 테스트 [Web] Sqlinjection 테스트 a' or '1' = '1 '1' = '1 부분이 참이 되어버리기 때문에 인증을 우회 할 수 있다. ID, PW 동일하게 입력. -- 주석을 줌으로 써 뒷부분의 조건부분을 생략하여 우회 할 수 있다. 패스워드 검증은 주석처리가 되어버리기 때문에 아무 값이나 입력하여도 로그인이 가능하다. 2017. 7. 29. [PHP] PHP로 DB(Database) 선택하기 [PHP] PHP로 DB(Database) 선택하기 vi dbselect.php URL 확인 http://localhost/dbselect.php 2017. 7. 9. [PHP] PHP로 DB(Database) 생성하기 [PHP] PHP로 DB(Database) 생성하기 vi dbcreate.php 파일 생성 URL 결과 확인 http://localhost/dbcreate.php 2017. 7. 9. 이전 1 다음 반응형
