② 공부
WebGoat 7.1 Setting 및 활용
WebGoat 7.1 Setting 및 활용 1. https://github.com/WebGoat/WebGoat/releases/tag/7.1로 들어간다. //(webgoat 7.1 download검색 가능) → https://github.com/WebGoat/WebGoat/releases/tag/7.0.1 2. webgoat-container-7.0.1-war-exec.jar 다운로드 webgoat-container-7.0.1-war-exec.jar파일을 자신의 ASP 폴더에 넣는다. [D:\class\ASP] 3. CMD를 킨다. d: //디렉터리 이동 cd class\ASP //디렉터리 이동 java -jar webgoat-container-7.0.1-war-exec.jar //실행파일 실행 ※ 사..
SQL Injection_ >http://testphp.vulnweb.com< 실습
sql injection테스트 사이트 : http://testphp.vulnweb.com/listproducts.php?cat=1 pictures The shore Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Donec molestie. Sed aliquam sem ut arcu. painted by: r4w8173 comment on this picture Mistery Donec molestie. Sed aliquam sem ut arcu. painted by: r4w8173 comment on this picture The univer testphp.vulnweb.com [실습1] union을 이용해서 페이지에서 실행되는 sql문의 필드의 ..
SQL Injection_3) SQL Injection Union사용하기
UNION SQL Injection : 2개 이상의 쿼리를 요청해 결과를 얻는 SQL연산자, 공격자는 이를 악용해 원래의 요청에 한 개의 추가 쿼리를 삽입해 정보를 얻어내는 방식 - 실제 사이트의 경우 null방법을 이용해 필드의 개수 확인 select문 union select null; //오류 -> 앞쪽 select문 필드 1개 아님 select문 union select null, null; //오류 -> 필드 2개 아님 : select문 union select null, null, null, null, null, null; //실행 -> 필드 6개이다. ================================================== *Union을 이용한 SQL Injection (MySQ..
Wireshark. 프로토콜별 패킷분석(Ehternet, IP, ARP, ICMP, TCP, UDP)
프로토콜별 패킷 분석 [이더넷, IP, ARP, ICMP, TCP, UDP] ----------------------------------------------------------------------------------------------------------------------------------- 이더넷 0000 : 5 5 2(프로토콜 타입) 0020-0030 : 0으로 설정 되어있고 Padding공간 ----------------------------------------------------------------------------------------------------------------------------------- IP 0000 뒤에서 2개부터 0020 앞에서 2개까지 ..
정보수집. 풋프린팅(Footprinting)과 스캔(Scan)
✔ 풋프린팅이 무엇인지 ✔ 포트와 서비스의 관계 이해 ✔ 다양한 포트 스캔 기술 이해 및 실행 풋프린팅에 대한 이해 풋프린팅 : 공격대상 정보를 모으는 방법 중 하나 사회 공학 기법 : 메모해둔 암호나 지인끼리 정보를 주고받는 것들을 이용한 해킹 해킹에 필요한 정보 - 침투하고자 하는 시스템의 사용자 계정 - 패스워드를 찾기 위한 계정을 사용하는 사람의 정보 - 게시판 이용 - 협력사, 계열사의 보안 조치 확인 ※ 주의사항 : 공격 대상 사이트로 직접 접속 보다 유틸리티로 웹 사이트를 다운로드 후, 검색하는 것이 좋음 스캔 : 서비스를 제공하는 서버의 작동여부, 제공 서비스를 확인하기 위한 작업 Ping(핑) : 네트워크와 시스템이 정상작동하는지 확인하기 위한 간단한 유틸리티, ICMP, TCP 사용 I..