본문 바로가기

Security Story

(441)
Burp Suite CA 인증서 설치 Burp Suite를 통해 HTTPS 웹 사이트를 탐색 할 때, 기본적으로 프록시는 자신의 인증 기관 (CA) 인증서로 서명 된 각 호스트에 대한 SSL 인증서를 생성한다. 이 CA 인증서는 처음 Burp Suite를 실행 할 때 생성되어 로컬에 저장된다. HTTPS 웹 사이트에서 가장 효과적으로 Burp Suite 프록시를 사용하려면, 브라우저에서 Burp Suite CA 인증서를 [신뢰할 수 있는 루트 인증기관]에 설치 해야한다.Burp Suite CA 인증서 설치 방법은 IE 기준 아래와 같다. (웹 브라우저 프록시 설정 후 Burp Suite가 실행되고 있다는 조건하에 진행한다.)1. 웹 브라우저를 실행 시킨 후 주소창에 http://burp를 입력 한다. http://burp를 입력하면, Bur..
OWASP ZAP CA 인증서 설치 SSL이 적용되어 있는 웹 사이트에 OWASP ZAP을 이용하여, 취약점 점검을 진행 할 때 아래와 같이 SSL 경고 메시지를 출력 하는 경우가 있다.<크롬에서 발생한 SSL 경고 예>OWASP ZAP은 웹을 프록시하면서 SSL 트래픽을 암호화/복호화의 번거로움을 해결하기 위한 dynamic SSL 인증서 생성 기능을 가지고 있다. dynamic SSL 인증서 생성 기능을 이용해서, SSL 경고 메시지가 출력되는 문제를 해결할 수 있으며, dynamic SSL 인증서 생성 방법은 아래와 같다.OWASP ZAP의 [Tools] - [Options] 메뉴를 클릭한다. Options 메뉴를 클릭하면, OWASP ZAP의 각종 옵션을 설정할 수 있는 팝업창이 나타난다.여기서 Dynamic SSL Certific..
OWASP ZAP User Interface - 메뉴바(Menu Bar)에서 파일 메뉴 파일 메뉴파일 메뉴는 현재의 세션을 처리하며, 기본적으로 다음 메뉴 항목이 존재한다.1. New SessionNew Session 메뉴는 새로운 세션을 만들 때 사용한다. New Session 메뉴 클릭하면 아래와 같이 현재 세션을 저장하지 않는다는 경고창이 나타난다.[확인]을 클릭하면 현재 세션을 저장하지 않기 때문에 현재 세션에있는 모든 데이터를 잃게 된다. 새로운 세션이 만들어지면, 세션 유지 여부를 묻는 창이 나타난다. 2. Open Session 메뉴Open Session 메뉴는 저장한 세션을 열 때 사용하며, 현재 세션을 저장하지 않고 세션을 열면 현재 세션의 모든 데이터를 잃게된다.3. Persist Session 메뉴Persist Session 메뉴는 현재 세션을 저장할 때 사용한다. 세션..
OWASP ZAP User Interface 기본적으로 ZAP 세션은 항상 디스크에 기록되며, ZAP는 HSQLDB(Hyper SQL Database)를 사용한다. HSQLDB는 간단하게 사용할 수 있는 순수 JAVA로 만들어진 DBMS다. OWASP ZAP를 시작하면 아래와 같이 ZAP 세션을 유지 여부를 묻는다. 세션을 유지하는 것을 선택한 경우 나중에에 액세스 할 수 있도록 세션 정보를 로컬 데이터베이스에 저장되고, 세션을 유지하지 않으면 ZAP를 종료 할 때, 해당 파일이 삭제된다. 여기서는 세션을 유지 하지 않고 사용할 예정이므로, 3번째 항목을 선택 한 후 [시작]을 클릭한다. 세션 유지 여부를 선택 하고 시작을 클릭하면, 아래와 같이 OWASP ZAP 화면이 나타난다. ① 메뉴바(Menu Bar) - 스캔 정책, Encode/Decod..
HTTP Methods 확인 Steps. 1. 개요 2. 테스트 방법 1. 개요HTTP는 웹 서버의 동작하는 데 사용할 수있는 몇개의 메소드를 제공하며, 대부분은 배포 및 HTTP 응용 프로그램을 테스트하는 개발자를 지원하기 위해 설계 되었다. HTTP Method는 아래와 같다.① GET Method : GET 요청 방식은 URI(URL)가 가진 정보를 검색하기 위해 서버 측에 요청하는형태이다.② POST Method : POST 요청 방식은 요청 URI(URL)에 폼 입력을 처리하기 위해 구성한 서버 측 스크립트(ASP, PHP, JSP 등) 혹은 CGI 프로그램으로 구성되고 Form Action과 함께 전송되는데, 이때 헤더 정보에 포함되지 않고 데이터 부분에 요청 정보가 들어가게 된다.③ HEAD Method : HEAD 요..
OWASP Zed Attack Proxy(ZAP) Install OWASP Zed Attack Proxy(ZAP)를 설치해보자. 여기서는 Windows 버전 OWASP Zed Attack Proxy(ZAP)를 설치할 예정이다. ① 다운로드 받은 설치 파일을 실행 시킨다. [Next]를 클릭해서 설치를 진행 한다. ② [Next]를 클릭하면 라이센스 내용을 출력한다. 라이센스 내용을 확인하였다면, [I accept the agreement]를 선택 후 [Next]를 클릭하여 다음 단계로 넘어간다. ③ 설치하려는 경로를 선택 후 [Next]를 클릭하여 다음 단계로 넘어간다. ④ 다음은 시작 메뉴에 존재할 폴더명을 입력하는 메뉴가 나타난다. 여기서 원하는 문자를 입력 하거나 [Browse]를 클릭하여 특정 폴더를 선택한 후 [Next]를 클릭하여 다음 단계로 넘어간다. 만..
관리자 인터페이스 (페이지) 확인 Steps. 1. 개요 2. 테스트 방법 1. 개요관리자 인터페이스는 어플리케이션 프로그램 또는 특정 사용자가 사이트에 특별한 활동을 할 수 있도록 어플리케이션 프로그램 서버에 존재 한다. 관리자 인터페이스는 아무나 접근해서는 안된다. 만약 관리자 인터페이스가 노출되어 공격자가 접근 할 수 있다면, 인증 우회, 무차별 대입 공격등을 이용하여, 관리자로 로그인이 가능하게 된다. 이러한 관리자 인터페이스는 인증되지 않은 접근으로로부터 보호하기 위한 충분한 제어를하지 않는 경우 많다.2. 테스트 방법관리자 인터페이스는 존재하지만, 테스터의 눈에는 보이지 않을 수 있다. 이런 경우 아래와 같은 방법으로 관리자 인터페이스를 찾아본다. 1. 가장 기본적으로 /admin, /administrator, /manager..
웹 서버 정보 확인 (Web server fingerprinting) Steps. 1. 개요 2. 테스트 방법 1. 개요웹 서버 핑거프린팅 (Web server fingerprinting)는 침투테스트에서 중요한 작업이다. 실행중인 웹 서버의 버전 및 종류를 알고 있으면, 알려진 취약점을 선택하여 적절한 공격을 진행 할 수 있다. Web 서버의 종류를 안다는 것은 테스트 프로세스에 도움이 되며 테스트 과정을 변경할 수 있다.웹 서버의 소프트웨어의 각 버전을 확인하는 방법은 특정 명령을 전송하여, 명령에 의한 응답값을 분석하여 도출 할 수 있다. 하지만 특정 명령을 전송하였을 때, 동일한 반응을 하지 않는다. 그렇기 때문에 여러 명령을 전송하여 응답값을 비교하여 정확도를 높여야 한다.2. 테스트 방법웹 서버를 식별하는 간단하고 가장 기본적인 형태는 HTTP 응답 헤더에서 서..