정보보안/모의해킹 검색 결과

해당 글 4

모의해킹 수행절차

1. 사업개요 및 정의 1-1. 사업명 정보보안 취약점 진단 컨설팅 1-2. 사업목적 가. 웹 어플리케이션의 보안 취약점을 분석하여 위험요소를 사전에 제거함으로써 기업 정보자산의 안정성을 제고 나. 정보 시스템 구축 및 운영시 필요한 절차 등 체크리스트와 조치 가이드를 통해 점검하여 침해사고 사전예방 2. 수행일정 및 수행인원 3. 수행 대상 구분 URL 서비스 외부 모의해킹 http://www.xxx.xxx xxx 서비스 4. 단계별 수행 절차 절차 설명 사전협의단계 고객사 담당자와 프로젝트 진행 범위 결정 정보수집단계 점검 대상의 대외적으로 공개된 OSINT 정보 수집 위협모델링 단계 수집된 정보 중 취약한 부분에 대한 부분 분류 취약점 분석 단계 진단 항목에 따라 어떤 취약점들이 도출 가능한지 확인..
정보보안/모의해킹 2021. 11. 21. 10:02

ufonet 봇넷을 이용한 DDoS 공격

개요 1. 주의사항 2. ufonet 정의 3. 환경구축 4. 툴 사용 및 공격 5. 공격 결과 [주의사항] 실제 서비스되는 사이트에 절대절대 공격하면 안됨(로그 다남습니다). 파이썬으로 동작하는 툴이기에 파이썬이 선수조건으로 설치 되어있어야함. PC 다운로드 경로 https://sourceforge.net/projects/ufonet/ ufonet이란? 1. 좀비 PC 리스트를 자체적으로 가지고 있고, 인터넷상에서 좀비 PC들을 찾은 후 해당 좀비 PC들을 이용하여 공격 타겟을 정한 후 DDoS 공격을 시작 하는 공격 툴입니다. ufonet는 Open Redirect를 사용하여 Layer 7 (APP / HTTP) DDoS 공격 을 시작하도록 설계되었습니다. 또한 오픈소스이기 때문에 자신이 코드분석을 ..
정보보안/모의해킹 2021. 6. 18. 19:51

웹쉘 실습

웹쉘(Web Shell)은 공격자가 원격지에서 피해 서버에 명령을 수행 할 수 있게 작성한 Server Side 언어로 (asp, php, jsp)파일 입니다.이렇게 악의적으로 작성한 스크립트 파일인 웹쉘을 업로드하여 웹 서버를 장악할 수 있습니다. 해당 실습은 워드프레스 APM기반에 진행해 보겠습니다. 해당 서버가 php기반으로 만든것으로 파악한 후에 php로 간단하게 악성코드를 작성하였습니다. 파일 업로드 화이트리스트 필터링이 안된 것으로 보아 Burp Suite로 webshell.text를 webshell.php로 바꾸어 서버에 업로드 합니다. 이렇게 webshell.php를 실행시키기 위해 파일 위치 경로를 찾아야합니다. 이미 서버에 올라간 사진중 하나를 우클릭 사진경로 복사 후 url에 입력하면..
정보보안/모의해킹 2021. 4. 4. 09:24

XSS 실습

XSS(Cross Site Scripting)의 약자로 XSS는 게시판등에 자바스크립트 코드를 삽입하여 개발자가 의도하지 않은 기능이 작동되게 하는 치명적인 공격입니다. 여기서 OWASP도 빼놓을수 없을 것 같은데요 OWASP란 오픈소스 웹 어플리케이션 보안 프로젝트입니다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표합니다. 그중 XSS는 OWASP가 갱신될때마다 항상 TOP 10에 속할 정도로 가장 위험한 공격에 속합니다. 공격은 크게 Reflected XSS와 Stored XSS로 나뉩니다. 워드프레스 APM구축을 통해 실습을 해보겠습니다. 게시판 댓글창에 script태그의 우회를 위해 S를 대문자로 ..
정보보안/모의해킹 2021. 4. 4. 02:09