태군 코드 : Security, travel & communication

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 취약점 점검이나 모의해킹을 하다 보면 SQL Injection, XSS 등 테스트를 할 경우 싱글 쿼터가 필터링되어 이를 아스키로 변환 후 테스트를 해야 하는 경우가 있습니다. 자동화 공격 시에는 쉽게 공격이 가능하지만 수동으로 테스트 할시에는 일일이 아스키코드표를 참조하여 변환하는 일이 번거롭고 불편할 것입니다. 여기에서는 버프스위트 (Burp Suite)를 통하여 조금 더 쉽게 변환하는 방법을 알아보도록 하겠습니다. 버프 스위트에서 변환하고자 하는 값을 선택하고 마우스 우클릭을 한 후 "Convert select..

웹 프록시 도구를 사용 하다 보면 자신의 PC가 클라이언트 또는 서버가 되는 경우가 있는데, 이때 프록시 도구를 통하여 요청/응답 메시지를 인터셉트 하기 위한 설정 방법을 알아 보도록 하겠습니다. 1) 실행창에서 "inetcpl.cpl"을 입력 또는 브라우저 창에서 인터넷 옵션을 선택 하여 줍니다. 2) 인터넷 속성 -> 연결 -> LAN 설정 3) LAN 설정 창에서 "로컬 주소에 프록시 서버 사용 안함" 체크 해제 후 고급 버튼을 클릭 4) 프록시 설정 창의 예외 부분에 "" 입력후 확인 5) http://localhost, http://127.0.0.1 접속시 프록시 도구를 통하여 요청 메시지가 인터셉트 되는지 확인

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. Burp Suite1. Burp Suite는 PortSwigger 사에서 만든 웹 애플리케이션의 취약점 진단 테스트를 수행하기 위한 통합 플랫폼이다.2. Burp Suite는 웹 애플리케이션, 모바일 서비스 등을 대상으로 취약점 진단 작업을 수행하기 위한 여러 가지 도구를 포함한다.3. Burp Suite는 웹 테스트를 수행하기 위한 Web Proxy Server, Web Spider, Repeater 등으로 구성되어 있고, 실무 모의해킹 진단에서도 Burp Suite 기능을 활용하여 작업을 수행한다. Burp S..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 테스트 사이트■ http://testphp.vulnweb.com/ 이번에는 저번 포스팅에 이어 버프스위트에 SQLMAP.exe 연동 방법에 대해서 알아보겠습니다. SQLMAP 다운로드- https://sourceforge.net/projects/sqlmap/files/sqlmap/0.6.4/sqlmap-0.6.4_exe.zip/download 플러그인 파일 다운로드- https://code.google.com/archive/p/gason/downloads https://sourceforge.net/projects/..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 테스트 사이트■ testphp.vulnweb.com 버프스위트의 Extender 기능은 버프스위트에서 기본으로 제공하는 도구 외에 다른 기능을 추가하여 버프스위트 도구처럼 사용할 수 있는 기능입니다. Extender 기능에는 Extensions, BApp Store, APIs, Options 탭으로 구성되어 있으며, BApp Store탭에서는 필요한 기능을 찾아 설치 할수 있습니다. Extensions 탭은 미리 제작된 확장 파일을 읽어 기능을 추가하고 이를 관리하는 역할을 수행 합니다. Burp Extension..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 테스트 사이트■ testphp.vulnweb.com 버프스위트의 Comparer는 두 항목의 데이터를 비교하는 작업을 수행하는 기능 입니다. 데이터의 응답 값의 변화를 체크하거나 비슷한 로직의 구간에서 어떤 변화가 있는지 진단할 때 유용하게 사용할수 있습니다. 비교대상은 테스트사이트에서 로그인 ID / PW 다르게 잡아서 비교해 보도록 하겠습니다. Comparer는 오른쪽 버튼을 눌러 Send to Comparer로 메시지를 전달하는 방법을 이용합니다. 비교할 데이터를 Comparer에 전달하면 두 개의 목록에서 ..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 버프스위트의 Decoder 기능은 암호화된 데이터를 알아보기 쉽게 원시 데이터로 변환하거나, 원시 데이터를 알아보기 어렵게 인코딩하여 변환하기 위한 도구 입니다. Decoder 기능도 다른 기능들과 마찬 가지로 마우스 오른쪽 버튼을 눌러 Send to Decoder를 선택하여 Decoder로 메시지를 전달하거나, Decoder 탭에서 수동으로 입력이 가능합니다. Decoder 탭으로 가보시면 Decode, Encode, Hash 항목이 있으며, 각 목록에서 필요한 방법을 선택해 주시면 됩니다. 위에서 보이시는 값은..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 버프스위트의 Sequencer 기능은 웹 애플리케이션에서 제공하는 보안상 중요한 세션 토큰을 분석하기 위한 도구 입니다. Sequencer의 하위 탭으로는 Live Capture, Manual Load, Analysis Options 이렇게 3개의 탭이 존재하고 있습니다. Live Capture대상 웹 애플리케이션에서 생성되는 토큰을 캡처하여 샘플 토큰 목록을 생성하고 이 토큰을 바탕으로 분석하여 결과를 출력 할 수 있습니다 Sequencer 기능도 다른기능과 마찬가지로 대상을 선택후 마우스 오른쪽 버튼을 누르신후..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 버프스위트의 Repeater 기능은 HTTP 요청을 재요청하고 애플리케이션 응답을 분석 해 주는 기능 입니다. 입력 매개변수 조작 및 재요청등 다양한 목적으로 Repeater 기능을 활용 할 수 있습니다. Repeater 기능도 다른 기능들과 마찬가지로 요청 메시지에서 마우스 오른쪽 버튼을 클릭하여 Send to Repeater를 클릭하면 버프스위트의 Repeater에 요청 메시지가 전달이 됩니다. 요청 메시지가 전달이 되면 Repeater탭에서 확인을 할수 있으며 요청되는 메시지를 수정하여 재요청을 할 수 있습니..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 테스트 사이트■ testphp.vulnweb.com 버프스위트 Intruder는 웹 애플리케이션을 대상으로 사용자 정의 공격을 할수 있는 자동화 도구입니다. 간단한 공격부터 복잡한 공격까지 다양한 공격 형태를 지원하는 기능 입니다. 이 기능은 보통 무차별 대입공격(Brute Force) 에 많이 사용이 됩니다. 버프스위트의 기능은 프록시가 설정이 되어 있어야 하므로 프록시가 정상적으로 동작을 하는지 확인하시기 바랍니다. ■ Burp Suite(버프스위트) Proxy 설정 방법 Intrude를 이용하여 공격을 수행할..