분류 전체보기177 진단 리스트 작성 ★ 수동 진단 보조 도구를 사용한 진단에서는 수행한 진단 내용과 결과를 스스로 기록해야 한다. 기록하는 방법은 다양하지만, 이책에서는 '진단 리스트'라는 시트를 만들어 괸리하는 방법을 설명한다. 이 진단 리스트는 고객에게 제출하는 보고서가 아니라 취약점 진단자가 진단 상태 등을 기록하고 확인하기 위한 시트다. ● 진단 리스트 개요수동 진단에서는 진단 대상에 대한 조사 결과와 진단 결과, 발견한 취약점에 대해 기록해야 한다. 기록하는 목적은 다음과 같으며, 이것을 만족하는 것이 '진단 리스트'가 된다. ☞ 취약점 진단을 진행하기 위한 테스트 케이스☞ 발견한 취약점에 대한 기록 진단 리스트에는 진단 대상 웹 프로그램을 수동으로 크롤링해 URL과 매개변수등을 조사하고 취약점 진단을 수행한 결과를 기록해야 한다.. 2017. 6. 26. Burp Suite 사용방법 상단의 메뉴는 프로젝트 저장 및 도움말을 위해 사용된다.취약점 진단을 위해 사용되는 데모 홈페이지 ★ Burp Suite는 프로젝트라는 단위로 작업 상태를 괸리하지만 무료 버전인 Free Edition에서는 해당 기능을 사용할수 없기 때문에 Temporary project만 사용해야 한다. 즉, Burp Suite Edition은 프로그램을 종료함과 동시에 이력이 지워지고 다음에 다시 실행할때는 이력이 없는 상태로 실행된다. 단 Burp Suite의 설정 중 User Options는 저장된다. 이전의 작업 이력이 남아있지 않으면 불편하지만, 실제 진단에서는 그 정도로 문제가 되지 않는다.수동 진단한 결과는 테스트 케이스 시트 또는 보고서, 기타 임시 저장이 가능한 장소에 저장한다. 취약점 진단 추적이 가.. 2017. 6. 26. 웹 취약점 분석방법 Http 프로토콜의 모양 요청 헤더에 포함되는 정보들 ① 데이터 처리방식과 기본 페이지 그리고 프로토콜 버전이 포함된다. ② User-Agent 사용자의 웹 브라우저 종류 및 버전 정보가 포함된다. ex) MSIE 6.0 Windows NT 5.0 인터넷 익스플로러 6.0 사용자임을 알 수 있다. ③ Accept 웹 서버로부터 수신되는 데이터 중 웹 브라우저가 처리할 수 있는 데이터 타입을 의미한다. 여기서 text/html은 text, html 형태의 문서를 처리할수 있고, */* 모든 문서를 처리할수 있다는 의미이다. 이를 MIME타입이라고 부르기도 한다. ④ Cookie Http 프로토콜 자체가 세션을 유지하지 않는 State-less (접속상태를 유지하지 않는) 방식이기 때문에 로그인 인증을 위한.. 2017. 6. 24. 웹 분석툴 nmap 사용법 ◆ 리눅스 기준 필자의 경우 리눅스의 nmap을 설치해 사용해 보기로 함 한 컴퓨터 시스템을 크래킹하기 위해서는 우선 계획이 필요하다.크래커는 목표로 하는 서버를 찾아야 하고, 그 다음에 머신에 어떤 port가 열려있는지, 시스템이 문제를 해결하기 전에 찾아야 한다. 일반적으로 스캐닝이라고 하는 것으로, 스캐닝을 통하여 네트워크상에 있는 머신을 찾고, 무슨 port가 열려있는가를 보기 위해, 그 머신들을 테스트하는 작업을 하게 됨크래커가 공격을 시작하기 전에 전 첫번째 전략은 바로 네트워크와 호스트들을 스캐닝하는 것Nmap과 같은 툴을 이용한 스캐너들 즉 나쁜 놈들은 네트워크를 둘러보고 취약한 목표를 찾는다. 한번 이런 목표들이 확인되면 침입자는 열린 port를 스캔할 수 있다. 2017. 6. 24. 취약점 진단 수행 절차 웹 프로그램 취약점 진단을 효율적이고 확실하게 수행하는 수행 절차를 설명한다.웹 프로그램 취약점 진단에는 자동 진단 도구를 사용한 진단과 수동 진단 보조 도구를 사용한 수작업 진단 두가지 방법 모두 필요하다. 자동 진단은 도구를 사용해 자동으로 웹 프로그램 취약점 진단을 수행한다. 그렇다면 수동 진단은 필요없는 걸까? 자동진단 도구의 특징을 안다면 수동 진단도 필요하다는 것을 알수 있다. 취약점 진단 수행절차웹 프로그램 취약점 진단은 다음과 같은 절차로 진행된다. 1.. 테스트 케이스 작성- 진단 대상기록, 시나리오 작성2. 취약점 진단 실시- 자동 진단 도구를 사용한 진단, 수동 진단 보조 도구를 사용한 진단3. 진단 결과 검증- 수동 진단을 통한 결과 검증4. 보고서 작성- 진단 도구를 사용한 보고서.. 2017. 6. 23. level 1단계 12345678910111213141516171819202122232425262728293031323334Challenge 1-------------------------- index.phps -----Colored by Color Scriptercs 레벨 1단계의 소스코드는 다음과 같다. 필자의 경우 php를 아직 공부하지는 않았지만 상단의 if문을 통해 user_lv가 없다면 숫자 1로 대체가 되는것 같다.다음과 같이 1번문제를 해결하면 된다 6미만 5초과이기 때문에 5.5이다. http://m.blog.daum.net/k2sarang2/168 2017. 6. 23. 이전 1 ··· 22 23 24 25 26 27 28 ··· 30 다음
