본문 바로가기
반응형

인터넷 보안/실습5

[인터넷 보안] XSS (Kali, Ubuntu 사용) 이번 포스팅에서는 공격자인 Ubuntu, 피해자인 Kali를 두고 XSS 실습을 해보겠습니다. 다음은 각 운영체제의 IP주소입니다. Ubuntu - 192.168.0.12 Kali - 192.168.0.20 먼저, 사용자 Kali에서 전송해오는 내용을 받기 위해 Ubuntu에서 apache2 웹서버를 설치하고 실행시켜줍니다. 그리고 다음 명령어를 통해 apache2 웹서버의 access log를 켜 둡니다. $ cd /var/log/apache2 $ sudo tail -f access.log DVWA에서 실습 Kali에서 DVWA의 XSS에서 다음 스크립트를 입력해 submit 하고 실행시켜줍니다. 이 스크립트는 쿠키 정보를 공격자 PC인 Ubuntu의 IP주소로 보내라는 스크립트입니다. 그럼 Ubunt.. 2021. 6. 12.
[인터넷 보안] XSS XSS란? XSS란 Cross site scripting의 약자로 인터넷 공격의 한 종류입니다. Cross site scripting이라면 css가 되지 않겠나 싶은데 css은 이미 html/css에서 사용하고 있어서 xss라고 불립니다. XSS는 자바스크립트와 밀접한 연관이 있습니다. XSS는 취약한 웹 페이지에 자바스크립트를 전송해 클라이언트 쪽 웹에서 실행하고 원하는 데이터를 빼오거나, 악성 파일을 보내는 동작을 합니다. XSS에는 크게 2가지 공격이 있습니다. Reflected XSS - 특정판 피해자를 대상으로 공격, 웹 서버에 스크립트 남기지 않음 Stored XSS - 다수, 임의의 대상을 공격, 웹 서버에서 스크립트 남김 Reflected XSS Reflected XSS는 다음과 같은 과정.. 2021. 6. 12.
[인터넷 보안] SQL Injection - SQL Map SQL Map이란? SQL Map은 파이썬으로 개발된 툴로 Kali Linux안에 설치되어있는 프로그램입니다. SQL Map은 터미널로 명령어를 입력하면서 SQL Injection 공격을 수행할 수 있습니다. SQL Map을 실행해보면 다음과 같은 창이 로딩됩니다. 기본적으로 SQL Map은 url을 기반으로 공격합니다. 현재 실습하려는 DVWA와 같이 로그인된 경우에는 cookie에 대한 정보도 설정해줘야 합니다. DVWA의 blind SQL injection에서 SQL map을 사용해 공격해보겠습니다. SQL map을 사용하는 2가지 방법이 있습니다. URL 사용하기 요청을 담은 텍스트 파일 사용하기 URL 사용하기 다음 명령어를 통해 SQL map을 실행시켜 줍니다. $ sqlmap -u "http.. 2021. 6. 12.
[인터넷 보안] SQL Injection SQL Injection이란? SQL Injection은 웹으로부터 데이터베이스에 전송되는 SQL 쿼리문을 공격자가 조작하여 데이터를 변조하거나, 데이터베이스 정보들을 조회하는 공격입니다. 취약한 데이터베이스는 이런 공격을 받고 비정상적인 동작을 합니다. 비교적 쉬운 공격이지만 엄청난 피해를 줄 수 있습니다. SQL Injection의 공격 방법에는 Where 절을 이용한 공격, Union 명령어를 이용한 공격, Boolean based 공격, Time based SQL, 저장된 프로시저 공격 등이 있습니다. Where 공격 Where 절을 이용한 간단한 공격에 대해 얘기해보겠습니다. 사용자가 ID 가 1인 사용자 정보를 요청하면, SQL문은 다음과 같이 전송됩니다 SELECT name, email FR.. 2021. 6. 11.
[인터넷 보안] CSRF 공격 CSRF란? CSRF는 Cross Site Request Forgery의 약자입니다. 이는 우리말로 해석하면 사이트 간 요청 위조라고 번역할 수 있습니다. 이 공격은 공격자가 피해자를 피싱을 사용해 속이고, 사용자 모르게 로그인해 비밀번호를 변경하는 방법입니다. CSRF 공격 순서 일반 사용자가 정상적으로 사이트에 접속하고 로그인합니다. 공격자가 사용자에게 은행 직원 인척 피싱해 이메일을 보내 링크를 클릭하도록 유도합니다. 사용자가 해당 링크를 클릭하면 현재 로그인돼있는 사이트의 비밀번호를 공격자가 미리 설정한 비밀번호로 자동으로 변경됩니다. 공격자가 변경된 비밀번호로 접속해 사용자의 계정으로 로그인할 수 있습니다. 이렇게 사용자에게 피싱만 잘할 수 있으면 CSRF는 비교적 쉬운 공격입니다. 단, 주의할.. 2021. 6. 11.
반응형

티스토리툴바