[웹보안] 웹보안 1일차 - 오전
2017.05.20
강북 쌍용 교육센터 웹 보안 기록용 포스팅 입니다.
- 교재 : 해킹 초보를 위한 웹 공격과 방어,
웹 모의해킹 및 시큐어코딩 진단 가이드.
보안에는
클라이언트 , 네트워크 , 시스템, DB정보, 문서 위변조 방지에 관련 한 것이 있다.
해당 글은
웹 어플리케이션 구현 단계에서의 보안에 포커스가 맞춰져 있다.
프록시 툴 : request/response 정보를 변경 할 수 있는 툴
Client-> Proxy Tool->IDS/IPS
IDS/IPS -> Proxy Tool -> Client
버프슈트, 파로스,스캔레이 등 여러가지 툴이 있다.
특정기능은 유료구매를 해야 한다던가 32비트 환경에서만 작동된다던가 하는 툴들이 있으니
알아서 잘 선택 하자.
이번에 사용할 프록시툴은
Scan-Ray 라는 툴을 사용할 것이다.
이곳에서 스캔레이를 받아서 설치를 하면 된다.
구동 환경은 JDK 환경에서 구동 가능 하다.
교육용으로 배포되는 툴이니 알아서 사용 하도록 하자.
설치파일 실행은 관리자 권한 으로 실행 하도록 한다.
일반설치를 하게 되면 write기능이 안먹힌다.
스캔레이 사용 방법
체인 모양 - 프록시 연결 설정임. 짱편함 인터넷 옵션에서 프록시 체크 안해도됨
URL다운모양 - 뭘 써먹을 수 있는지 목록 보여줌
체크판떼기 - 룰설정임 근데 기본적으로 다 체크한 상태로 점검 해보자
지구본검색모양 - 해당 사이트에 공격을 해봐서 취약점 리스트를 뽑아줌.
그래프모양 - 취약점 리포트를 보여준다
테스트 사이트
아무데서나 프록시툴로 변조해서 공격하면 해당 보안팀이나 회사에서 연락 올테니
공격테스트 해보라고 오픈 해놓은 테스트 사이트를 이용 하도록 하자
WebGoat
webGoat 도 받아보도록 하자. 보안관력 공격해보고 수정해보고 씹뜯맛즐 할 수 있는 프로젝트다.
https://github.com/WebGoat/WebGoat-Legacy
여기서 받으면 된다.
오라클 설치 되어있으면 8080말고 80으로 시작하자
http://localhost./WebGoat/attack
접속 하면
id:guest
pw:guest
이걸로 로그인 한다.
localhost 뒤에 . 이 붙는 이유는 프록시 어쩌구 했는데 기억 안남. ㅅㄱ
'Yame Programmer > 웹보안' 카테고리의 다른 글
| [웹보안] 웹보안 3일차 - 오후 (0) | 2017.06.03 |
|---|---|
| [웹보안] 웹보안 3일차 - 오전 (0) | 2017.06.03 |
| [웹보안] 웹보안 2일차 - 오후 (0) | 2017.05.27 |
| [웹보안] 웹보안 2일차 - 오전 (0) | 2017.05.27 |
| [웹보안] 웹보안 1일차 - 오후 (0) | 2017.05.20 |