본문 바로가기

Open Source

(159)
Burp Suite CA 인증서 설치 Burp Suite를 통해 HTTPS 웹 사이트를 탐색 할 때, 기본적으로 프록시는 자신의 인증 기관 (CA) 인증서로 서명 된 각 호스트에 대한 SSL 인증서를 생성한다. 이 CA 인증서는 처음 Burp Suite를 실행 할 때 생성되어 로컬에 저장된다. HTTPS 웹 사이트에서 가장 효과적으로 Burp Suite 프록시를 사용하려면, 브라우저에서 Burp Suite CA 인증서를 [신뢰할 수 있는 루트 인증기관]에 설치 해야한다.Burp Suite CA 인증서 설치 방법은 IE 기준 아래와 같다. (웹 브라우저 프록시 설정 후 Burp Suite가 실행되고 있다는 조건하에 진행한다.)1. 웹 브라우저를 실행 시킨 후 주소창에 http://burp를 입력 한다. http://burp를 입력하면, Bur..
OWASP ZAP CA 인증서 설치 SSL이 적용되어 있는 웹 사이트에 OWASP ZAP을 이용하여, 취약점 점검을 진행 할 때 아래와 같이 SSL 경고 메시지를 출력 하는 경우가 있다.<크롬에서 발생한 SSL 경고 예>OWASP ZAP은 웹을 프록시하면서 SSL 트래픽을 암호화/복호화의 번거로움을 해결하기 위한 dynamic SSL 인증서 생성 기능을 가지고 있다. dynamic SSL 인증서 생성 기능을 이용해서, SSL 경고 메시지가 출력되는 문제를 해결할 수 있으며, dynamic SSL 인증서 생성 방법은 아래와 같다.OWASP ZAP의 [Tools] - [Options] 메뉴를 클릭한다. Options 메뉴를 클릭하면, OWASP ZAP의 각종 옵션을 설정할 수 있는 팝업창이 나타난다.여기서 Dynamic SSL Certific..
OWASP ZAP User Interface - 메뉴바(Menu Bar)에서 파일 메뉴 파일 메뉴파일 메뉴는 현재의 세션을 처리하며, 기본적으로 다음 메뉴 항목이 존재한다.1. New SessionNew Session 메뉴는 새로운 세션을 만들 때 사용한다. New Session 메뉴 클릭하면 아래와 같이 현재 세션을 저장하지 않는다는 경고창이 나타난다.[확인]을 클릭하면 현재 세션을 저장하지 않기 때문에 현재 세션에있는 모든 데이터를 잃게 된다. 새로운 세션이 만들어지면, 세션 유지 여부를 묻는 창이 나타난다. 2. Open Session 메뉴Open Session 메뉴는 저장한 세션을 열 때 사용하며, 현재 세션을 저장하지 않고 세션을 열면 현재 세션의 모든 데이터를 잃게된다.3. Persist Session 메뉴Persist Session 메뉴는 현재 세션을 저장할 때 사용한다. 세션..
OWASP ZAP User Interface 기본적으로 ZAP 세션은 항상 디스크에 기록되며, ZAP는 HSQLDB(Hyper SQL Database)를 사용한다. HSQLDB는 간단하게 사용할 수 있는 순수 JAVA로 만들어진 DBMS다. OWASP ZAP를 시작하면 아래와 같이 ZAP 세션을 유지 여부를 묻는다. 세션을 유지하는 것을 선택한 경우 나중에에 액세스 할 수 있도록 세션 정보를 로컬 데이터베이스에 저장되고, 세션을 유지하지 않으면 ZAP를 종료 할 때, 해당 파일이 삭제된다. 여기서는 세션을 유지 하지 않고 사용할 예정이므로, 3번째 항목을 선택 한 후 [시작]을 클릭한다. 세션 유지 여부를 선택 하고 시작을 클릭하면, 아래와 같이 OWASP ZAP 화면이 나타난다. ① 메뉴바(Menu Bar) - 스캔 정책, Encode/Decod..
OWASP Zed Attack Proxy(ZAP) Install OWASP Zed Attack Proxy(ZAP)를 설치해보자. 여기서는 Windows 버전 OWASP Zed Attack Proxy(ZAP)를 설치할 예정이다. ① 다운로드 받은 설치 파일을 실행 시킨다. [Next]를 클릭해서 설치를 진행 한다. ② [Next]를 클릭하면 라이센스 내용을 출력한다. 라이센스 내용을 확인하였다면, [I accept the agreement]를 선택 후 [Next]를 클릭하여 다음 단계로 넘어간다. ③ 설치하려는 경로를 선택 후 [Next]를 클릭하여 다음 단계로 넘어간다. ④ 다음은 시작 메뉴에 존재할 폴더명을 입력하는 메뉴가 나타난다. 여기서 원하는 문자를 입력 하거나 [Browse]를 클릭하여 특정 폴더를 선택한 후 [Next]를 클릭하여 다음 단계로 넘어간다. 만..
OWASP Zed Attack Proxy(ZAP) 개요 OWASP Zed Attack Proxy(ZAP)는 Open Web Application Security Project(OWASP)에서 개발, 유지되고 있다. Zed Attack Proxy(ZAP)는 웹 어플리케이션 취약점을 찾기위한 무료 오픈 소스 통합 침투 테스트 도구로 자동화된 스캐너뿐만 아니라 수동으로 보안 취약점을 발견하기 위한 도구 세트를 제공 한다. OWASP Zed Attack Proxy(ZAP)는 웹 어플리케이션을 테스트하기 위해 설계되어 있으며, 유연성과 확장성을 모두 가지고 있다. Zed Attack Proxy(ZAP)의 핵심은 대행수신 프록시(intercepting proxy)로 웹 브라우저와 웹 어플리케이션 프로그램 사이에서 전송되는 메시지를 가로챈 후 확인할 수 있으며, 필요에 ..
[도커 엔진(Docker Engine)] User guide (tutorial) - 간단한 웹 어플리케이션 실행 앞서 컨테이너에서 hello world에서 docker ps, docker logs, docker stop 명령어와 기본 컨테이너 실행, 대화형 컨테이너(Interactive container) 실행, 백그라운드에서 실행되는 컨테이너을 살펴보았다. 이번에는 간단한 어플리케이션을 실행 하는 방법에 대해서 살펴보려한다. Steps. 1. 도커 클라이언트(Docker client) 살펴보기 2. 도커 명령어(Docker command) 도움말 확인 3. 도커(Docker)에서 웹 어플리케이션 실행 4. 웹 어플리케이션 컨테이너 실행 확인 5. 매핑된 네트워크 포트 간단하게 확인하기 6. 웹 어플리케이션 로그 보기 7. 컨테이너 내부 프로세스 찾기 8. 컨테이너 정보확인 9. 중지된 컨테이너 다시 시작하기 10..
[도커 엔진(Docker Engine)] User guide (tutorial) - 컨테이너에서 hello world Steps. 1. Hello World 실행 2. 대화형 컨테이너(Interactive container) 실행 3. 백그라운드에서 실행되는 컨테이너(Daemonized Hello world ) [사용할 도커(Docker) 명령어]- docker run : 컨테이너 실행- docker ps : 실행되고 있는 컨테이너 확인- docker logs : 컨테이너의 표준 출력을 보여준다.- docker stop : 컨테이너 실행 중지도커(Docker)를 실행 하려먼 기본적으로 아래와 같은 형식으로 명령어를 입력한다. # docker run [OPTIONS] IMAGE [COMMAND] [ARG...]도커(Docker)의 시스템 구성에 따라 docker를 사용하는 일반 사용자 계정으로 사용하게 되면, 명령어를 입..