분류 전체보기177 웹 해킹을 위한 준비방법 http://m.blog.daum.net/k2sarang2/168 상단의 블로그를 참조해서 보면 다양한 방법이 있다.. 필자의 경우 war game을 시작하려고 한다. 워게임의 시작 연습게임이라 보면된다. 회원등록 버튼이 보이지 않는다. 이 문제를 해결하기 위해서는 개발자도구를 활용해야 한다. 주석제거시 생기는 Register 2017. 6. 23. ★진단수행사전준비 ♥ 진단 수행 준비 진단 수행 사전 준비는 취약점 진단을 위한 준비를 하는 단계로 진단을 수행하기 위해 필요한 정보등을 고객에게 받는다. 준비단계에서 어떤 정보를 주고 받는지에 대해 알아본다. 진단수행사전준비 ● 진단대상확인- 진단 대상이 되는 웹 프로그램을 선정하고 우선 순위를 책정● 수행내용설명- 진단 내용과 서비스 제공의 흐름, 진단을 할 때의 주의사항 등 진단 수행에 대한 내용을 설명● 사전 청취- 진단 실시 형태와 진단 대상 환경 등 진단에 필요한 정보를 확인● 환경 및 데이터 준비- 진단에 필요한 계정 정보나 각종 권한 등을 준비● 현장 작업 환경준비- 현장에서 진단하는 경우 진단 대상 네트워크 연결하는 방법, 작업 장소 등에 대한 준비 진단 대상 확인 진단 대상 확인은 진단 대상이 어떤 것인.. 2017. 6. 23. 취약점 점검을 위한 방법- 웹취약점 점검 툴 owasp zap의 중요기능은 다음과 같다. 동적스캔- 동적 진단도구 Forced Browse사전형 공격 기능 디렉터리나 파일명을 찾아 강제 브라우징 기능 여부를 확인스파이더 발견한 링크나 입력폼을 바탕으로 웹사이트 주소를 크롤링하는 기능Ajax 스파이더 OWASP ZAP에서 제공하는 브라우저를 실행해 웹사이트 데이터를 크롤링하고 기록하는 기능으로, 자바스크립트가 많이 사용되는 페이지에 사용Fuzzer 자동으로 매개변수 값을 넣어 서버로 요청을 보내는 기능로컬 프록시 Http 요청을 변조하거나 응답을 확인하기 위한 프록시 기능보고서 생성 동적 스캔 결과를 보고서로 생성하는 기능HttpSessions 사용 중인 세션 목록을 표시해 주거나 관리하는 기능 2017. 6. 22. 패스워드 최소길이 설정 패스워드 무차별 공격(Brute Force Attack)이나 패스워드 추측 공격(PassWord Guessing)을 피하기 위해 패스워드 최소 길이 설정이 필요하다. 보안설정리눅스의 경우 최초 cat/etc/login.defs을 통해 보안의 설정을 확인한다. 다음의 경우 최대한의 패스워드 기간은 무한대이며 최소한의 기간은 0일로 설정 패스워드 최소길이는 8자리인데 없는 부분을 임의로 채웠음 명령어 cat을 통해 변경된 것을 확인할수 있음 2017. 6. 21. 웹 취약점 점검방법 가이드라인 ■ 웹 취약점방법을 위해서는 다음과 같은 웹 프록시 툴과 도구가 필요함 https://portswigger.net/burp/ 2017. 6. 20. ■ 리눅스 서버 점검 가이드 2-1 root 홈, 패스 디렉터리 권한 및 패스 설정 ■ 대상 OS: 리눅스 ■ 취약점 개요- root 계정의 path 환경변수에 "."(현재 디렉토리 지칭)이 포함되어 있으면 root 계정의 인가자로 인해 비의도적으로 현재 디렉토리에 위치하고 있는 명령어가 실행될수 있음-즉 "." 이 /usr/bin 이나 /bin, /sbin 등 명령어들이 위치하고 있는 디렉토리보다 우선하여 위치하고 있을 경우, root 계정의 인가자가 특정 명령을 실행하면 ,비인가자가 불법적인 위치시킨 파일을 실행하여 예기치 않은 결과를 가져올 수 있음-잘못된 path의 우선순위 등이 침해사고에 이용될 수 있으므로 "."뿐만 아니라 비인가자가 불법적으로 생성한 디렉토리를 우선으로 가리키지 않도록 설정함 ■ 보안대책양호: path환경변수에 "."이 맨 앞이나 중간에 포함되지 않은 경우취.. 2017. 6. 20. 이전 1 ··· 23 24 25 26 27 28 29 30 다음
