#웹#보안#정보보안#리눅스#언어#시스템#네트워크#프로그래밍#해킹#워게임
Burp Suite[목적]웹 프록시 서버를 사용시 클라이언트와 서버간 통신을 주고 받을 때 전달되는 패킷을 중간에 가로채어 확인 및 조작할 수 있게 해주는 툴[주의 사항]해당 툴을 사용하여 악의적인 목적으로 이용 시에 발생되는 피해는 절대 책임지지 않음. 문제풀이 및 응용 테스트에만 사용하기를 권함. 프록시 서버[정의]클라이언트가 자신을 통해서 다른 네트워크 서비스에 간접적으로 접속할 수 있게 해 주는 컴퓨터나 응용 프로그램을 가리킨다. 서버와 클라이언트 사이에서 중계기로서 대리로 통신을 수행하는 기능을 가리켜 '프록시', 그 중계 기능을 하는 것을 프록시 서버라고 부른다.[서버 설정 방법]1) 크롬으로 진행 시, 크롬 오른쪽 상단에 점 3개로 되어 있는 메뉴 클릭, 설정에 들어간다. 2) 고급 설정 표..
구글 해킹(Google Hacking)[정의]구글 해킹(Google hacking)은 웹 사이트가 사용하는 구성과 컴퓨터 코드에 보안 구멍을 찾기 위해 Google 검색 및 기타 Google 응용 프로그램을 사용하는 컴퓨터 해킹 기술이다. 공격자는 개인정보 등 손쉽게 취약점을 찾을 수 있다. 구글해킹의 구글봇이 수집하는 데이터를 서버에 캐시상태로 저장하기 때문에, 해당 사이트가 삭제되거나 한 후에도 오랜 시간이 지나기 전엔 검색결과에 노출되기 때문에 이전 페이지가 그대로 노출 될 수 있으며, 이 데이터를 모으면 손쉽게 취약점을 찾을 수 있다.[주의 사항]해당 방법을 사용하여 악의적인 목적으로 이용 시에 발생되는 피해는 절대 책임지지 않음. 문제풀이 및 응용 테스트에만 사용하기를 권함.[공격 유형]따옴표(..
취약한 직접 객체 참조(directory listing)[정의]디렉터리 리스팅 취약점은 브라우징 하는 모든 파일을 보여준다. 원래의 목적은 문서의 공유로 파일 탐색기처럼 원하는 문서로 바로 찾아갈 수 있게 하는 용도였지만 최근에는 문서의 저장 및 열람이 가능하다면 문서의 취약점(백업파일 및 소스 코드, 스크립트 파일의 유출로 인한 계정 정보 유출 등등)을 이용해 악의적인 목적을 갖고 있는 사람들에게 탈취 및 웹 서버 공격이 이루어지기 때문에 보안 설정상 대부분 해당 기능을 사용하지 않는다.[주의 사항]해당 방법을 사용하여 악의적인 목적으로 이용 시에 발생되는 피해는 절대 책임지지 않음. 문제풀이 및 응용 테스트에만 사용하기를 권함.[공격 방법]html 페이지의 소스보기를 할 수 있을 때, 이미지 및 파일..
포트 스캔[정의]포트 스캔(port scan)은 운영 중인 서버에서 열려 있는 포트를 검색하는 것을 의미한다.[목적]자신의 서버의 네트워크 서비스들을 점검하기 위해 사용하거나 해커가 해킹을 하기 위해 정보 수집에서 타겟 서버의 정보를 수집하기 위해 사용한다. 알고자하는 패킷에 특정한 패킷을 보냈을 때 돌아오는 응답에 따라 포트가 열려있는지 닫혀있는지 판단한다.[유형]TCPTCP half-openUDPStealthTCPTCP 스캔은 TCP 처음 연결 시 일어나는 3-웨이 핸드쉐이킹을 탐지하는 기법이다. 만약 핸드쉐이킹이 정상적으로 완료되었다면, 해당 TCP 포트는 정상적으로 열려 있는 것으로 판단할 수 있다. 서비스 거부 공격을 막기 위해, 포트 스캐너는 핸드쉐이킹 직후 연결을 종료한다. 이 방식은 일반적..
서비스 거부 공격(DOS)[정의]시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결을 바닥내는 등의 공격이 이 범위에 포함된다. 수단, 동기, 표적은 다양할 수 있지만, 보통 인터넷 사이트 또는 서비스의 기능을 일시적 또는 무기한으로 방해 또는 중단을 초래한다. 통상적으로 DoS는 유명한 사이트, 즉 은행, 신용카드 지불 게이트웨이, 또는 심지어 루트 네임 서버를 상대로 이루어진다. 2002년 10월 22일과 2007년 2월 6일의 DNS 루트 서버에 대한 DNS 백본 DDoS 공격은 인터넷 URL 주소 체계를 무력화시켜 ..