-
클릭재킹(Clickjacking) 취약점Web Vulnerability 2020. 1. 27. 17:34
클릭재킹(Clickjacking) 취약점 1. 개요 클릭재킹은 iframe 요소와 CSS를 교묘하게 이용해 투명하게 만든 공격 대상 사이트를 함정 사이트와 서로 겹쳐서 사용자가 모르는 사이에 공격 대상 사이트의 기능을 클릭하도록 유도하는 공격 방법이다. 클릭재킹 페이지는 감춰진 링크를 사용자가 클릭함으로써 의도되지 않는 행동을 수행하게 속인다. 사용자는 실제로는 감춰진 페이지에서 행동을 수행하지만 자신은 보이는 버튼을 클릭했다고 생각한다. 감춰진 페이지는 인증 페이지일 수 있으며, 공격자는 사용자가 전혀 의도하지 않은 행동을 수행할 수 있다. 2. 발생 위치 마우스 등 입력 장치의 조작만으로 '중요한 처리'를 실행할 수 있고, 인증을 필요로 하는 페이지 3. 발생 원인 클릭재킹은 응용 프로그램의 버그가 ..
-
해커 팩토리(Hacker Factory) - 웹 워게임 초급해킹 문제-5 풀이 과정워게임(Wargame)/해커 팩토리(Hacker Factory) 2020. 1. 27. 02:27
해커 팩토리(Hacker Factory) - 웹 워게임 초급해킹 문제-5 풀이 과정 워게임 사이트인 해커 팩토리의 초급해킹 문제-5에 대해 풀어보고자 한다. 해커 팩토리의 정식 사이트는 https://hackerfactory.co.kr/ 이다. 풀이 과정은 다음과 같다. 1. 문제유형을 확인한다. 먼저 문제풀이에 앞서 문제를 확인한다. 좌측의 [웹워게임] - [초급해킹] - [문제-5] 클릭하여 문제를 확인하면, 특정 경로의 파일(/temp/hacktory.txt)을 다운로드 하는 문제 유형임을 알 수 있다. [그림 2]에서 하단의 [문제접속]을 클릭하면 아래와 같은 홈페이지를 확인할 수 있다. 2. 파일 다운로드가 가능한 부분(페이지)를 찾는다. 위 [그림 3]에서 우측 상단의 [Board]를 클릭하면..
-
FoxyProxy-Standard 설정 방법(파이어폭스(Firefox) 확장 기능)ETC 2020. 1. 25. 13:00
FoxyProxy-Standard 설정 방법(파이어폭스(Firefox) 확장 기능) 웹 브라우저 ↔ 웹 프록시 ↔ 웹 서버 간 원활한 통신을 위해, 설치한 FoxyProxy의 설정 방법에 대해 알아보자. FoxyProxy 설치 방법은 아래 글을 참조하면 된다. (※ FoxyProxy-Standard 설치 방법 : https://byounghee.tistory.com/143) FoxyProxy 설정 방법은 다음과 같다. 1. 파이어폭스 브라우저 실행 후, 아래와 같이 진행한다. 우측 상단의 FoxyProxy 이모티콘 클릭 - [Options] - [Add]를 클릭한다. 2. 프록시 설정을 위한 내용 입력 후, 저장한다. - Title or Description(optional) : 설정 제목으로, 사용하는..
-
FoxyProxy-Standard 설치 방법(파이어폭스(Firefox) 확장 기능)ETC 2020. 1. 25. 09:00
FoxyProxy-Standard 설치 방법(파이어폭스(Firefox) 확장 기능) FoxyProxy는 파이어폭스 브라우저에서 프록시 설정을 할 수 있게 하는 확장 기능이다. 취약점 진단 시 유용하게 사용되며, 설치 방법은 다음과 같다. 1. 아래 사이트에 접속 후, [Firefox에 추가] 버튼을 클릭한다. https://addons.mozilla.org/ko/firefox/addon/foxyproxy-standard/ 2. 확장 기능 추가를 위해 팝업창의 [추가(A)]를 클릭한다. 3. 정상적으로 추가가 완료되면, 브라우저 우측 상단의 이모티콘이 추가 되며, [네, 알겠습니다(O)] 클릭을 통해 설치를 종료한다.
-
파이어폭스(Firefox) 브라우저 설치 방법ETC 2020. 1. 24. 20:14
파이어폭스(Firefox) 브라우저 설치 방법 파이어폭스(Firefox) 브라우저는 다른 브라우저(크롬, 인터넷 익스플로러 등)와 다르게 XSS(크로스 사이트 스크립팅) 필터가 구현되어 있지 않아 XSS 취약점을 실습하기에 좋다. 파이어폭스의 설치 방법은 다음과 같다. 1. 아래 사이트에서 파이어폭스(Firefox)를 다운로드 한다. https://www.mozilla.org/ko/firefox/new/ 이제까지 가장 빠른 Firefox 다운로드 더 빠른 페이지 로딩, 더 적은 메모리 사용량, 다양한 기능 탑재, 새로운 Firefox가 여기 있습니다. www.mozilla.org 파이어폭스 공식 홈페이지에서 [다운로드]를 클릭하여 설치 파일을 받는다. 2. 다운로드 받은 파일을 실행시켜, 설치를 진행한다..
-
해커 팩토리(Hacker Factory) - 웹 워게임 초급해킹 문제-4 풀이 과정워게임(Wargame)/해커 팩토리(Hacker Factory) 2020. 1. 24. 18:29
해커 팩토리(Hacker Factory) - 웹 워게임 초급해킹 문제-4 풀이 과정 워게임 사이트인 해커 팩토리의 초급해킹 문제-4에 대해 풀어보고자 한다. 해커 팩토리의 정식 사이트는 https://hackerfactory.co.kr/ 이다. 풀이 과정은 다음과 같다. 1. 문제유형을 확인한다. 먼저 문제풀이에 앞서 문제를 확인한다. 좌측의 [웹워게임] - [초급해킹] - [문제-4] 클릭하여 문제를 확인하면, 특정 경로의 파일(/temp/hacktory.txt)을 다운로드 하는 문제 유형임을 알 수 있다. 하단의 [문제접속]을 클릭하면 아래와 같은 홈페이지를 확인할 수 있다. 2. 파일 다운로드가 가능한 부분(페이지)를 찾는다. 위 [그림 3]에서 우측 상단의 [Board]를 클릭하면 아래와 같은 게..
-
명령프롬프트(CMD)에서 Burp Suite 실행 방법Tools 2020. 1. 24. 16:29
명령프롬프트(CMD)에서 Burp Suite 실행 방법 웹 프록시 도구인 Burp Suite는 아래 사이트에서 .exe 파일과 .jar 파일 형태로 다운로드 받을 수 있다. https://portswigger.net/burp/communitydownload Download Burp Suite Community Edition PortSwigger offers tools for web application security, testing & scanning. Choose from a wide range of security tools & identify the very latest vulnerabilities. portswigger.net .exe 파일의 경우 다운로드 후, 실행시켜 설치를 진행하면 정상적으..
-
웹 브라우저에 burp suite CA 인증서 등록 방법Tools 2020. 1. 23. 18:43
웹 프록시 도구인 Burp Suite를 처음 설치하여 사용하다보면, [그림 1]과 같이 https 사이트에 접근할 수 없는 화면을 확인할 수 있다. Burp Suite는 웹 프록시 도구이므로, 브라우저 ↔ Burp Suite ↔ 서버 간 통신 형태의 중간에 위치하게 된다. 따라서 https 접속 시, [그림 1]과 같이 오류가 나는 이유는 브라우저에서 Burp Suite CA 인증서를 신뢰하지 못하기 때문이다. 따라서 Burp Suite를 통해 https 사이트에서 송·수신되는 정보를 확인하려면 Burp Suite CA 인증서를 브라우저에 신뢰할 수 있는 기관으로 등록해 주어야 한다. Burp Suite 인증서 등록 방법은 아래와 같이 2가지 방법이 존재하지만, 본 게시글에서는 2번 방법을 이용한 등록 ..