-실습 환경- vmware workstation 12 pro kali 2020.03 CSRF - Cross Site Request Forgery - - 웹사이트가 이용자가 자신의 의지와 상관없이 공격자가 의도한 행위(정보 수정, 삭제, 등록 등)를 웹 사이트에 요청하게 하는 공격 - 웹사이트는 위조된 요청이 신뢰성 있는 사용자로부터 온 것인지 판단하기 때문에 사용자가 로그인한 상태에서만 이루어진다. ▶ 특정 사이트의 사용자의 브라우저에 대한 신뢰성을 이용한 공격 실습 실습 내용 : 공격자가 올린 이미지 파일을 읽음으로써 사용자는 자신의 비밀번호를 변경 요청하게 된다. 실습 준비: DVWA 설치 모의해킹환경 구축을 위한 DVWA 설치하기. 앞서 bee-box에 대해서 소개해드렸는데요. 이번에는 DVWA에 ..

-실습 환경- vmware workstation 12 pro kali 2020.03 windows 10 * setoolkit 이란, Social Engineering의 약자로, 칼리 리눅스에 내장되어 있는 도구입니다. 이 사회 공학 키트는 타깃의 물리적, 기술적 보안 취약점을 이용하지 않고 사람의 성격 또는 신뢰도에 따른 취약점을 이용하는 사회공학적 기법에 사용됩니다. * 실습 내용 : 공격자는 구글 로그인 페이지를 복제한 피싱 사이트를 제작한다. 피해자는 공격자가 메일을 통해 보낸 링크를 클릭한다. 구글 로그인 페이지로 착각한 피해자는 계정 정보를 입력한다. 공격자는 해당 정보를 탈취할 수 있다. 실습 과정 1. setoolkit 실행 2. 피싱 사이트 제작하기 위해 1 입력 3. Website Att..

실습 환경 Windows 10 Tomcat 8.5.50 Java 16.0.1 python 3.8.3 Ghostcat 취약점이란? CVE-2020-1938은 Apache Tomcat 취약점이다. Tomcat에는 포트 8080을 사용하는 HTTP 커넥터와 포트 8009를 사용하는 AJP 커넥터가 있다. HTTP 커넥터는 http 웹 서비스를 제공하고 AJP는 데이터 교환에 사용된다. 따라서, ajp 커넥터는 디폴트로 포트 8009를 통해 활성화되어 있다. 이때 공격자는 AJP 버그를 이용하여 서버에 있는 파일에 접근할 수 있다. 해당 취약점 발견 당시, 톰캣 9/8/7/6 버전에 영향을 미쳐 휴면 상태였기에 Ghostcat이라고 불린다. 실습 환경 Windows 10 Tomcat 8.5.50 Tomcat 설..

칼리 리눅스란? 간단하게 설명하면 모의 해킹을 수행하기 위해 필요한 해킹 툴이 설치된 오픈소스 리눅스 OS이다. 데비안을 기반으로 만들어졌다. VMware에 칼리 리눅스 설치하기 (VMware가 설치되어 있다고 가정하고 진행하였습니다. VMware Workstation pro 버전 12 사용) Get Kali | Kali Linux Home of Kali Linux, an Advanced Penetration Testing Linux distribution used for Penetration Testing, Ethical Hacking and network security assessments. www.kali.org 위 사이트에서 컴퓨터 사양에 맞는 칼리 리눅스 iso 파일을 다운 받습니다. 다운이 ..