CERT/웹 모의해킹 실습

[웹 해킹] CSRF(Cross-Site Request Forgery)공격 실습 / DVWA(Medium) 환경 실습 / 대응방안

취약점 개념 설명 CSRF 취약점은 Cross-Site Request Forgery의 약어로 사이트 간 요청 위조라는 의미의 취약점으로 사용자의 의지와는 무관하게 공격자가 의도한 행위, 예를 들면 게시글 작성 또는 수정, 삭제 또는 패스워드 변경 등의 요청을 사용자의 권한으로 특정 웹 서버에 요청할 수 있는 취약점을 의미합니다. CSRF 사례 실제 사례로 2008년 옥션의 관리자가 CSRF 공격에 당하여 관리자 계정이 탈취된 사례가 있는데 이로 인해 약 1,800만 명의 개인정보가 유출된 사례가 있다. 이러한 방식으로 공격에 당할 경우 상당히 파급력이 커질 수 있는 위험도가 높은 취약점이다. DVWA (Medium) 환경 실습 CSRF 공격 실습을 위해 CSRF 탭에 들어온 모습이다. 해당 페이지에 있는..

2023.08.28

CERT/웹 모의해킹 실습

[웹 해킹] Command Injection 공격 실습 / DVWA(Medium) 환경 실습 / 대응방안

취약점 개념 설명 Command Injection 취약점은 취약한 애플리케이션을 실행 중인 서버에서 임의의 운영체제 명령을 실행할 수 있는 취약점을 의미한다. 이 취약점이 존재할 경우 애플리케이션을 구동하고 있는 시스템 계정의 쉘 권한을 획득한 것과 같기 때문에 위험도가 높은 취약점 중 하나이다. 위 사진의 경우 Command Injection 공격 방식을 그림으로 표현한 것이다. 공격자가 애플리케이션에 접근 후 기본적으로 사용되는 명령어 뒤에 ;(세미콜론)을 삽입한 후 명령어를 추가로 입력하여 서버로 전송한다. 서버는 입력된 명령어를 필터링하지 않아 서버에서 2 가지 명령어가 실행되고 실행된 명령의 출력이 공격자에게 전송되어 민감한 정보가 노출되는 결과가 나오게 되는 것을 그림으로 설명한 것이다. DV..

2023.08.03

CERT/웹 모의해킹 실습

[웹해킹] Brute Force 공격 실습 / DVWA(Medium) 환경 실습 / 대응 방안

취약점 개념 설명 무차별 대입 공격이라고 부르는 공격 기법으로 위 그림과 같이 특정한 암호를 알아내기 위해 가능한 모든 경우의 수를 대입하여 암호를 알아내는 공격 기법을 의미한다. Brute Force 공격 사례 실제 최근 사례로 다른 취약한 웹 페이지에서 탈취된 개인정보를 기반으로 우리은행 웹 사이트에서 Brute Force 공격을 수행하여 약 56,000 건의 개인정보가 유출되는 등의 사건이 발생한 사례가 있다. DVWA(Medium) 환경 실습 Brute Force 공격 실습을 위해 DVWA 페이지에서 Brute Force 페이지로 이동한 모습이다. 위 그림과 같이 일반적인 로그인 기능이 있는 것을 확인할 수 있다. 사용자 계정 또는 패스워드가 틀렸을 경우에는 위 그림에 보이는 것과 같이 Usern..

2023.07.20

CERT/웹 모의해킹 실습

[웹 해킹] Stored XSS / DVWA 환경 실습 / 대응 방안

Stored XSS 취약점에 대해 알아보기 앞서 XSS(Cross Site Scripting)취약점에 대해 간략하게 살펴보겠습니다. XSS ( Cross Site Scripting ) ? 웹 사이트 관리자가 아닌 이가 웹 페이지에 클라이언트 측에서 실행될 수 있는 악성 스크립트를 삽입할 수 있는 취약점 Stored XSS ? 공격자가 서버에서 제공되는 게시판, 방명록, 사용자 프로필 등에 악의적인 스크립트를 작성하여 저장한 후 사용자가 게시물, 방명록 등을 확인하면 스크립트가 사용자에게 전달되어 실행되는 취약점 공격자가 작성한 악성 스크립트가 서버에 저장되어 사용된다는 특징이 있다. DVWA 환경에서 Stored XSS 실습 우선 본 실습에 앞서 실습 환경의 경우 리눅스 환경에서 DVWA 환경을 구축한 ..

2023.07.01

CERT/웹 모의해킹 실습

[웹 해킹] Reflected XSS / DVWA 환경 실습 / 대응 방안

Reflected XSS에 대해 알아보기 앞서 XSS(Cross Site Scripting)취약점이 무엇인지 간단하게 알아보도록 하겠습니다. XSS ( Cross Site Scripting ) ? 웹 사이트 관리자가 아닌 이가 웹 페이지에 클라이언트 측에서 실행될 수 있는 악성 스크립트를 삽입할 수 있는 취약점 Reflected XSS ? 공격자가 악성 스크립트가 담긴 URL을 생성하여 메일 등을 통해 사용자에게 전달한 후 실행하도록 하는 공격으로 사진과 같이 공격자가 악성 스크립트가 담긴 URL을 사용자에게 전달 후 사용자가 실행하면 웹 서버로부터 해당 스크립트에 대한 응답이 즉시 사용자에게 전달되는데 이것이 마치 반사되는 것과 같은 형상을 보이기 때문에 Reflected(반사형) XSS 공격이라 부른..

2023.07.01

CERT/웹 모의해킹 실습

[웹 해킹] DOM Based XSS / DVWA 환경 실습 / 대응 방안

우선 DOM Based XSS 취약점에 대해 설명하기 전에 XSS(Cross Site Scripting)과 DOM 구조가 무엇인지 간략하게 살펴보도록 하겠습니다. XSS(Cross Site Scripting) ? 웹 사이트 관리자가 아닌 이가 웹 페이지에 클라이언트 측에서 실행될 수 있는 악성 스크립트를 삽입할 수 있는 취약점 DOM (Document Object Model) ? DOM(Document Object Model) : HTML의 문법은 태그의 집합으로 구성되어 있고 이러한 태그들은 사진과 같이 트리 구조로 객체가 형성되는데 이러한 트리 구조 집합을 DOM 구조라고 한다. DOM 구조에 접근하기 위해서는 JavaScript와 같은 스크립트 언어를 사용해야 DOM 구조에 접근할 수 있다. ex ..

2023.06.21

CERT/웹 모의해킹 실습

[웹 해킹] Weak Session IDs / DVWA 환경 실습 / 대응 방안

Weak Session IDs ? 일반적으로 사용자가 웹 서버에 접속하면 사용자를 식별하기 위해 Session ID가 사용자에게 할당되어 사용자 쿠키에 저장되고 이를 이용해 웹 서버에서 사용자를 식별한다. 이러한 Session ID가 단순하거나 쉽게 추측이 가능하여 공격자가 Session ID를 유추하여 다른 사용자의 권한으로 접근할 수 있는 취약점 또는 Session Time Out (세션 만료 시간)을 너무 길게 설정하여 공격자가 다른 사용자의 Session ID를 재사용하여 해당 사용자의 권한으로 서버에 접근할 수 있는 취약점을 의미한다. DVWA 환경에서 Weak Session IDs 실습 우선 본 실습에 앞서 실습 환경의 경우 리눅스 환경에서 DVWA 환경을 구축한 후 가장 취약한 환경인 Low..

2023.06.21

CERT/웹 모의해킹 실습

[웹 해킹] Blind SQL Injection / DVWA SQL Injection(Blind) 실습 / 대응 방안 / SQLMAP 사용법

Blind SQL Injection ? 쿼리의 결과를 참 또는 거짓으로만 출력하는 페이지에서 사용할 수 있는 SQL Injection 공격 기법 출력 내용이 참 또는 거짓으로만 구성된 웹 페이지에서 참/거짓 정보를 이용해 데이터베이스의 내용을 추측하는 공격 방식 Brute Force 공격과 비슷하게 상당히 많은 경우의 수를 대입해보며 공격을 수행해야 하기 때문에 일반적으로 자동화 도구를 이용하여 공격을 수행한다. DVWA 환경에서 SQL Injection (Blind) 공격 실습 우선 본 실습에 앞서 실습 환경의 경우 리눅스 환경에서 DVWA 환경을 구축한 후 가장 취약한 환경인 Low 레벨 환경에서 실습을 진행하였습니다. Blind SQL Injection 공격을 실습하기 위해 해당 탭으로 들어온 모습..

2023.06.16

CERT/웹 모의해킹 실습

[웹 해킹] SQL Injection / DVWA 환경 실습 / 대응 방안

SQL Injection ? DB와 연동된 웹 애플리케이션에서 공격자가 입력폼 또는 URL 입력란에 SQL 구문을 삽입하여 DB를 조작할 수 있는 취약점 클라이언트 측에서 입력된 신뢰할 수 없는 데이터가 SQL 쿼리 로직의 일부로 해석되어 DB에서 실행되는 공격 DVWA 환경에서 SQL Injection 공격 실습 우선 본 실습에 앞서 실습 환경의 경우 리눅스 환경에서 DVWA 환경을 구축한 후 가장 취약한 환경인 Low 레벨 환경에서 실습을 진행하였습니다. DVWA 웹 페이지에서 SQL Injection 탭으로 이동한 모습 User ID 입력란에 숫자(1~5)를 입력하면 입력한 번호에 매칭되는 계정의 First name 과 Surname이 출력되는 기능이 있는 것을 확인할 수 있다. 해당 기능을 구현한..

2023.06.14