-실습 환경- vmware workstation 12 pro kali 2020.03 CSRF - Cross Site Request Forgery - - 웹사이트가 이용자가 자신의 의지와 상관없이 공격자가 의도한 행위(정보 수정, 삭제, 등록 등)를 웹 사이트에 요청하게 하는 공격 - 웹사이트는 위조된 요청이 신뢰성 있는 사용자로부터 온 것인지 판단하기 때문에 사용자가 로그인한 상태에서만 이루어진다. ▶ 특정 사이트의 사용자의 브라우저에 대한 신뢰성을 이용한 공격 실습 실습 내용 : 공격자가 올린 이미지 파일을 읽음으로써 사용자는 자신의 비밀번호를 변경 요청하게 된다. 실습 준비: DVWA 설치 모의해킹환경 구축을 위한 DVWA 설치하기. 앞서 bee-box에 대해서 소개해드렸는데요. 이번에는 DVWA에 ..

-실습 환경- vmware workstation 12 pro kali 2020.03 windows 10 * setoolkit 이란, Social Engineering의 약자로, 칼리 리눅스에 내장되어 있는 도구입니다. 이 사회 공학 키트는 타깃의 물리적, 기술적 보안 취약점을 이용하지 않고 사람의 성격 또는 신뢰도에 따른 취약점을 이용하는 사회공학적 기법에 사용됩니다. * 실습 내용 : 공격자는 구글 로그인 페이지를 복제한 피싱 사이트를 제작한다. 피해자는 공격자가 메일을 통해 보낸 링크를 클릭한다. 구글 로그인 페이지로 착각한 피해자는 계정 정보를 입력한다. 공격자는 해당 정보를 탈취할 수 있다. 실습 과정 1. setoolkit 실행 2. 피싱 사이트 제작하기 위해 1 입력 3. Website Att..

윈도우에서 파일을 찾거나 실행시킬 때, 현재의 위치(또는 디렉터리)에 존재하지 않는 파일은 다른 위치에 있더라도 찾지 못한다. 이에 내가 실행하려는 파일이 존재하는 위치로 이동하여 파일을 입력해야 한다. hello.txt를 실행하려고 할 때, 처음 위치에서는 hello.txt를 찾지 못했다. 이에 해당 파일의 위치로 이동하여 파일을 실행하였다. 이 경우는 파일이 있는 디렉토리에 들어가지 않고 경로를 사용하여 파일을 실행하였다. 환경 변수를 설정하지 않으면, 이렇게 실행하고자 하는 파일이 있는 디렉토리 안에서만 작업하거나 경로를 작성하여 실행해야 하는 번거로움이 있다. 이런 불편함을 해소하기 위해 변수값에 경로를 설정하는 것이 환경변수 설정이다. 제어판 > 시스템 및 보안 > 시스템 > 고급 시스템 설정에..

문자열 분리 JAVA에서 구분자로 문자열을 분리하는 방법은 2가지가 있습니다. 1. split String 클래스의 속해있는 메서드로 정규표현식으로 문자열을 분리한다. 정규표현식을 사용하여 속도가 느리나, 데이터 양이 많아질 경우 StringTokenizer과 속도 차이가 크게 나지 않는다. * 정규표현식 : 특정한 규칙을 갖는 문자열, 줄여서 정규식이라고도 불림 ex. 만약 0~9 사이의 숫자가 구분자 일때 0|1|2|...|8|9로 작성하지만, 정규 표현식을 사용하면 간단하게 [0-9]로 표현 가능하다. 반환 값이 문자열 배열 타입이다. ( String[] arr = str.split(","); ) 구분자 사이에 빈 문자열이 있을 경우 토큰으로 인식한다. > null 처리 2. StringTokeni..

Tomcat 설치 아래의 사이트에서 원하는 버전의 톰켓을 다운로드합니다. https://archive.apache.org/dist/tomcat/ 압축을 풀고 설치하고 싶은 위치로 이동합니다. 저의 경우 c:/로 이동하였습니다. 환경변수를 설정합니다. 시스템 변수 새로 만들기를 클릭합니다. 변수명은 CATALINA_HOME으로 입력하고 변수 값으로 tomcat설치 위치를 입력합니다. 이번엔 시스템 변수 편집을 클릭합니다. 새로 만들기를 클릭하여 %CATALINA_HOME%₩bin을 입력합니다. statup.bat을 클릭하여 tomcat 서버를 실행합니다. 127.0.0.1:8080에 접속하여 아래와 같은 페이지가 나온다면, 정상적으로 설치된 것입니다.

자바 설치하기 아래의 사이트에서 JDK를 다운로드합니다. https://www.oracle.com/java/technologies/javase-downloads.html 다운로드한 exe파일을 실행합니다. Next를 누릅니다. default로 설정된 위치에 설치합니다. 그 후 다음으로 넘어가며 설치를 완료합니다. 제어판 > 시스템 및 보안 > 시스템 > 고급 시스템 설정을 클릭하여 환경변수를 설정합니다. 시스템 변수 아래에 있는 새로 만들기(W)를 클릭합니다. 변수 이름을 JAVA_HOME으로 입력하고 자바를 설치한 위치를 변수 값에 입력합니다. 동일하게 새로 만들기를 클릭하여 CLSSPATH를 추가합니다. Path 변수를 찾아 편집을 클릭합니다. 새로 만들기를 클릭하여 %JAVA_HOME%₩bin을 입..

실습 환경 Windows 10 Tomcat 8.5.50 Java 16.0.1 python 3.8.3 Ghostcat 취약점이란? CVE-2020-1938은 Apache Tomcat 취약점이다. Tomcat에는 포트 8080을 사용하는 HTTP 커넥터와 포트 8009를 사용하는 AJP 커넥터가 있다. HTTP 커넥터는 http 웹 서비스를 제공하고 AJP는 데이터 교환에 사용된다. 따라서, ajp 커넥터는 디폴트로 포트 8009를 통해 활성화되어 있다. 이때 공격자는 AJP 버그를 이용하여 서버에 있는 파일에 접근할 수 있다. 해당 취약점 발견 당시, 톰캣 9/8/7/6 버전에 영향을 미쳐 휴면 상태였기에 Ghostcat이라고 불린다. 실습 환경 Windows 10 Tomcat 8.5.50 Tomcat 설..

**준비사항** - VScode 설치 - github 회원가입 - 파일 업로드할 repository 준비 ① Git 설치 아래의 사이트에서 운영체제에 맞는 파일을 다운로드 합니다. window를 사용하시면 https://study-ce.tistory.com/67 에서 환경설정 방법을 참고해주세요:) Git - Downloads Downloads macOS Windows Linux/Unix Older releases are available and the Git source repository is on GitHub. GUI Clients Git comes with built-in GUI tools (git-gui, gitk), but there are several third-party tools for..