-
Ctrl+Shift+J
What is base64?base64는 말 그대로 64진법이라는 뜻을 가지고 있습니다. 8bit Binary Data(Ex.실행파일, zip파일 등)를 64개의 ASCII문자로 변환하는 Encoding방식입니다. 여기서 64개의 ASCII문자는 대문자 알파벳(A-Z)26개, 소문자 알파벳(a-z)26개, 숫자(0-9)10개, 두 가지의 기호. 즉, 총 64개를 말합니다.메일에서 첨부파일(Ex.이미지, 오디오 파일..
오늘은 GNS3의 설치 및 사용법에 대해서 알아보도록 하겠습니다.GNS3란?GUI 환경으로 사용자가 간편하게 이용할 수 있는 프로그램입니다. 대부분의 플랫폼(Windows, Linux, OS X)등을 지원합니다. 패킷트레이서와 비슷한 프로그램으로, 직접 가상머신과 연동하여 모의 환경을 만들 수 있다는 장점이 있습니다.GNS3 설치저는 2.1.8 버전을 설치했습니다.https://www.gns3.com/software 에 접속해서 설치파일을 ..
URL Jumping "URL Jumping"이란 공격자가 URL의 파라미터를 바꾸는 기법입니다. 우선 공격자와 관리자 각각 게시판에 글을 작성합니다. 공격자는 관리자가 작성한 글을 수정하고 싶어하지만 권한이 없습니다. 이때 URL Jumping을 사용하여 우회할 수 있습니다. 공격자는 우선 자신의 글을 수정할때의 URL을 확인하기 위해 글 수정 페이지에 들어갑니다. num파라미터로 무언가 ..
검증되지 않은 리다이렉트 오늘은 검증되지 않은 리다이렉트 취약점에 대해서 알아보겠습니다. "검증되지 않은 리다이렉트"란 공격자가 리다이렉트 되는 페이지의 주소를 피싱 사이트로 변조하여 사용자에게 피싱이나 악성코드를 배포하는 사이트로 리다이렉트 시키는 공격기법입니다. 사용자들에게 보이는 화면에는 사용자들이 신뢰할만한 사이트로 보이게 하여 사용자의 클릭을 유도하게 됩니다. 공격이 어떤식으로 이루어지는지 살펴보도..
오늘은 간단하게 Pangolin 사용법을 알아보도록 하겠습니다. Pangolin은 Injection Tool입니다. windows7에서는 windowvista new버전을 설치하면 됩니다. 사용법 1) 초기화면은 아래와 같습니다. SQL Injection Tool을 사용할 때 주의할 점은 URL을 잘 찾아봐야 한다는 점입니다. Injection이 통할만한 URL을 찾아야 합니다. Tool이 그 URL로 인..
관리자 페이지 노출 관리자페이지 주소를 추측하여 외부에서 접속할 수 있는 취약점입니다. 관리자페이지가 노출된 경우 계정 추측이나 인증 우회를 통해 비인가자가 로그인 할 수 있는 가능성이 있습니다. 실습 대상 웹 서버에 관리자 페이지 노출 취약점 외에도 다른 취약점이 있는지도 함께 확인해보도록 하겠습니다. paros에서 spider를 통해 웹 서비스의 계층 구조를 알아봅니다. admin폴더가 관리자와 관련있을 가..
Directory Listing 취약점 잘못된 보안환경 설정으로 인해 발생하는 취약점입니다. 브라우징하는 모든 파일을 보여주게 되는데, 대부분의 경우 디렉토리 목록을 보여줍니다. 백업파일 및 소스코드, 스크립트 파일의 유출로 인한 계정정보 유출과 같은 다양한 정보를 공격자에게 제공하여 제2, 제3의 공격에 이용 될 수 있습니다. 직접 한번 실습해봅시다. 실습 아래는 vmware에서 구축한 웹 서버의 디렉터리 리스팅 ..