바인드쉘 (2) 썸네일형 리스트형 DVWA를 이용한 웹해킹 - 1(바인드쉘) 실습에서 사용될것은 먼저 서버(우분투) 클라이언트(칼리리눅스) 을 사용하였다. 그리고 취약점진단을 하기위해 DVWA라는 취약한 웹 어플리케이션으로 진행하였다. DVWA의 보안레벨은 모두 LOW상태로 진행. 여러가지 취약점을 진행해볼수있게 준비되어있는데 먼저 해볼것은 File Upload을 이용한 백도어 이다. 클라이언트에서 서버로 접속하여 먼저 File Upload 칸으로 가보면 이렇게 서버에 올릴수있는 환경이 주어지는데. 먼저 확인을 위해 test.txt라는 아무의미없는 파일을 업로드해보았다. 보안레벨이 LOW라서 일부로 보여주는건가 싶을정도로 서버의 경로를 친절하게알려주는데.. 이 취약점을 이용해서 사용할 스크립트는 b374k-2.8.php 라고하는 연구용 으로 배포되어있.. 웹해킹 기초 공격 과 대응 방법 Brute Force 공격 (무자별 대입) -공격 가능한 모든 암호 조합을 무차별로 시도하는 공격 대응 : 로그인 제한을 두고 실패 시 일정 기간동안 로그인 금지 Command Injection 공격 payload : 공격하기 위한 공격자체의 코드 , 실행되는코드 , 전송행위의 본래의도 exploit :취약점을 이용해 공격자의 의도된 동작을 수행하도록 만들어진 절차나 일련의 스크립트 및 이런것들을 사용한 공격행위 대응 : ip만 들어올수있게함 다른게 붙어있다면 error 메시지 File Inclusion 공격 대응 : 허락된 파일 만 불러오기 가능 , 허용되지않은 파일을 찾으면 error메시지 File Upload 공격 바인드쉘 - 공격 대상이 자신의 호스트에 리스너 포트를 열고 들어오는 .. 이전 1 다음
