분류 전체보기139 Broken Authentication – Password Attack Broken Authentication – Password Attack CAPTCHA Bypassing 의 경우 로그인 수행 시 출력되는 메시지를 이용하여 Brute Force & Dictionary Attack 을 진행했다. 이번에도 인증수준이 낮은 페이지부터 높은 페이지까지 Burf suite 의Intuder을 활용하여 공격을 실습한다. 1. Broken Authentication – Password Attack(low) Login Form으로 되어있으며 기본적으로 ID와 Password가 제공되고 있다 bee/bug 로 로그인 성공시 “Successful login!” 이라는 문구가 출력됨을 확인할 수 있다. 잘못된 정보로 로그인 시 “Invalid credentials! Did you forgot.. 2021. 6. 21. 암호학 / 암호 개요 암호 평문(Plaintext) : 암호화 하기 전의 메시지 암호문(Ciphertext) : 암호화 한 후의 메시지 암호기술(Encryption, Decryption) : 중간의 도청자가 암호문을 가로체어 갖게 된다고 하더라도 특정 비밀박을 모른다면 암호문을 평문으로 복호화 할 수 없도록 하는 기술 해독 복호화 : 정당한 수신자가 암호문을 평문으로 바꾸는것 암호해독(Cryptanalysis) : 수신자 이외의 사람이 암호문으로부터 평문을 복원하려 시도하는것 암호해독자(Cryptanalyst) : 암호 해독을 하는 사람, 악의적인 도청자 및 암호 연구자등이 있다. 대칭키 암호화와 비대칭키 암호화 1. 암호 알고리즘 암호화 알고리즘 : 평문을 암호문으로 만드는 절차 복호화 알고리즘 : 암호문을 평문으로 만드는.. 2021. 6. 21. Broken Authentication – CAPTCHA Broken Authentication – CAPTCHA Bypassing CAPTCHA : 사람과 컴퓨터를 구분하기 위한 방법 사람은 해독할 수 있으나 컴퓨터는 해독하기 난해한 이미지나 문구 등 입력을 받는 것으로 추가적인 인증을 진행하는 기능. 1. Broken Authentication – CAPTCHA Bypassing 기존 login form과 다르게 하단에 Captcha 기능이 추가되어 있는 것으로 확인된다, 기본적으로 ID 와 Passwrod는 제공되어있어 로그인을 시도 및 로그인 실패에 따른 결과를 비교해본다. 순서대로 로그인성공, CAPTCHA의 오류, ID,Passwrod의 오류 의 결과이다. 해당 정보를 가지고 Burp suite을 통해 Crack작업을 진행해본다. 2. Broken .. 2021. 6. 14. SQL-Injection AJAX, Login, Blog SQL-Injection AJAX/JSON/jQuery 용어설명 JSON : Web Server와 Data를 주고받을 때 Data를 표현하는 방법중 하나이며 Java script 의 형식으로 객체를 표현한다, 이해가 쉬우며 경량의 Data교환형식이다. jQuery : Java script library 중 하나로, Client 에서 script 언어를 사용할 때 활용됨. AJAX : HTML, Java script, JSON을 혼합하여 사용하는 기술 브라우저의 XMLHttpRequest를 활용하여 페이지 전체를 새로 고치지 않고 페이지의 일부분만을 데이터를 로드하는 기법이며 비동기통신, Client 와 Server 간의 XML 데이터를 주고받는 기술. 1. SQL-Injection AJAX/JSON/jQ.. 2021. 6. 14. SQL Injection - Login Form SQL-Injection Login Form (Hero) 1. SQL-Injection Login Form(Hero) SQL Injection (Login Form/Hero)의 경우 Hero 그룹에 속한 사용자들이 로그인시 해당 사용자의 비밀번호의 힌트를 제공하는 페이지이다. 취약점 점검을 위하여 ‘(싱글쿼터) 또는 “(더블쿼터)를 입력한다. Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' AND password = ''' at line 1 ‘(싱글쿼터) 입력 시 오류가 출력된다, id 와 pa.. 2021. 6. 14. SQL Injection - GET Select / POST Select SQL-Injection GET-Search 1. SQL-Injection GET-Search 이번 사이트는 입력란이 따로 있지않고 영화 리스트를 직접 선택시 DB안에 있는 상세 정보를 출력해주는 사이트이다. . GET-Method 방식을 이용하고 있기 떄문에 영화를 선택할 때 마다 URL 상에서 movie 라는 변수가 계속 변경되고 있는걸 확인할 수 있으며 이번엔 sqlmap Tool을 활용하여 작업을 진행한다. [참고] sqlmap Sqlmap은 Database server의 탐지과정, Sql Injection결함을 통한 exploit을 자동화한 오픈소스 침투 점검용 Tool, 침투 점검자를 위한 틈새 특성들과 Database의 다양하고 폭 넓은 지속적인 변환, Database로부터 data탈취, 내.. 2021. 6. 7. 이전 1 ··· 9 10 11 12 13 14 15 ··· 24 다음
