모의해킹7 모의해킹 업무 이해하기 1. 모의해킹을 해야하는 이유 2. 버그헌팅 프로그램 전 윤리 3. 버그헌팅과 모의 해킹 차이 4. 고객과 협의 미팅 시 꼭 물어야할 것 5. 환경 분석, 공개된 서브세어 유출되는 정보 6. 서비스 이해하기 7. 프로젝트 진단 후 해야할 것 8. 실무에서의 취약점 진단 조치 9. 모의해커 관점에서 솔루션 검토의 중요성 10. 무선 AP 취약점에서의 중요점 1. 모의해킹을 해야하는 이유 1) 모의해킹은 업체의 의무 업체는 사용자의 개인정보를 지켜야하는 의무 존재. 법 차원에서의 모의해킹은 '정보보호관리체계인증'의 범위에서 '시스템 개발 보안' , '운영 보안'을 근거로 진행 범위가 좁음에도 시중에 모의해킹 인력의 수요가 많은 이유는 기술적 보호 조치 기준에 따라 고객 정보가 보호되었다고 판단되어도 정보 유.. 2021. 4. 29. CAPTCHA 공격대응 CAPTCHA 공격에 대한 대응을 알아보겠습니다. 만약 이 공격을 처음 들어보신다면 아래 포스팅을 살짝쿵 보고 와주세요! https://com24everyday.tistory.com/41 CAPTCHA 공격 오늘은 CAPTCHA 를 공격하는 방법을 알아보겠습니다. CAPTCHA란 아래와 같이 기계가 인식할 수 없는 늘어뜨린 글씨로 사람인지 파악하는 겁니다. 회원가입이나 비밀번호 변경같이 사람이 직접하지 않으면 문제가.. com24everyday.tistory.com 소스코드 부분을 확인하면 하이 단계에서 확인했던 거처럼 디버깅 조건 부분이 사라졌습니다. 또 CSRF 기법을 대응할때처럼 현재 비밀번호를 입력을 요구하고 있습니다. 마지막으로 CAPTCHA 를 확인하는 걸 한단계로 진행하는 게 좋습니다. 어쩔.. 2020. 5. 7. CAPTCHA 공격 오늘은 CAPTCHA 를 공격하는 방법을 알아보겠습니다. CAPTCHA란 아래와 같이 기계가 인식할 수 없는 늘어뜨린 글씨로 사람인지 파악하는 겁니다. 회원가입이나 비밀번호 변경같이 사람이 직접하지 않으면 문제가 되는 상황에 쓰입니다. 하지만 이를 제대로 구현하지 않으면 해커는 이를 우회하여 공격할 수 있습니다. 비밀번호 변경이 다음과 같이 두단계로 이루어집니다. 1. CAPTCHA 확인 2. 확인 완료, 비밀 번호 변경 이렇게 인데 해커가 마치 CAPTCHA를 이미 확인한 것과 같이 꾸미는 겁니다. 자, 그럼 DVWA 로 가보겠습니다. 보안을 LOW 단계로 설정하고 비밀번호를 normal로 바꿔 보겠습니다. 변경되었다는 메세지가 나옵니다. burp-Start 로 가서 확인해봅니다. 첫번째 요청을 확인해.. 2020. 5. 7. 파일 업로드 대응 방법 파일 업로드에 대해 모르신다면 아래 포스팅으로 보고 와주세요ㅎㅎ https://com24everyday.tistory.com/39 파일 업로드 공격 오늘은 파일 업로드 공격을 배워보겠습니다. 파일 업로드 공격이란 파일이 업로드 될 수 있는 페이지에 악성 파일(웹쉘)을 업로드하는 것 입니다. 웹쉘이란 커맨드 인젝션에서 본 것과 비슷하게 웹을 통해 시스템.. com24everyday.tistory.com 보면 이미지 파일의 내용을 확인하여 겉모습만 이미지 파일인 것들을 걸러주고 있습니다. 또 다른 방법으로는 업로드 되는 파일을 랜덤하게 생성시켜서 해커가 자기가 업로드한 파일에 접근하지 못하게 하는 방법입니다. 또 업로드 서버와 웹애플리케이션 서버와 분리하는 방법이 있습니다. 이 방법들이 다 안되면 업로드 폴.. 2020. 5. 6. 이전 1 2 다음
