Lucete

owasp zap 은 owasp에서 오픈소스로 공개한 툴이다. 그럼 무엇을 하는 툴인가? 홈페이지나 서버를 본인 스스로 체크하고 점검해주는 오픈 소스이다. burp랑 비슷하지만 오픈소스라는 점에서 차이점이 있다. 그럼 owasp는 무엇인가 ? The Open Web Application Security Project 로 전 세계적으로 보안 전문가들이 보안 취약점 진단 기준과 표준을 수립하고, 웹 어플리케이션 보안 관련 문서를 배포하고 보안 취약점 관련 툴을 개발하는 오픈소스 커뮤니티이다. 공식 홈페이지는 https://www.owasp.org/index.php/Main_Page 여기이다. owasp zap의 사이트는 https://www.owasp.org/index.php/OWASP_Zed_Attack_..

웹 서버 취약점 점검 툴인 nikto에 대해 알아보자 :) 공식 홈페이지는 https://cirt.net/Nikto2 이다 . 여기서 다운을 받을 수있고 설치를 할수 있다. 리눅스 같은경우 apt-get install nikto 와 yum install nikto 로 쉽게 받을 수있다. Mac OS같은 경우에는 brew install nikto 를 하면 쉽게 받을수있다 . 먼저 명령어를 보자 간단하게 터미널에서 nikto 만 치게 되면 도움말들이 나타나는 것을 알 수있다. 조금 더 자세히 알고 싶다면 nikto -Help 를 입력한다면 이렇게 많은 도움말을 볼수가 있다. nikto 의 사용법을 알아보면 nikto -h [HOST IP] 이렇게만 해도된다. 왜냐 기본적으로 포트는 80번이 디폴트 값을 지니..

SQL injections vulnerabilities in Stack Overflow PHP questions lastest SQL Injection vulnerabilities in PHP questions sql injection 취약점에 취약한 php문을 볼수 있고 보기 쉬운 인터페이스로 되어있어요 :) https://laurent22.github.io/so-injections/

php://filter/string.rot13/resource=example.com http://php.net/manual/en/filters.string.php

웹사이트를 만들면 호스팅이란 것을 이용하여 서로 연결 시킨다. 거기에 보면 DNS nameserver 등 이러한 말이 나오는데 과연 무엇일까? 쉽게보자!! DNS란 ?Domain Name Server IP주소를 인간이 기억하기 편한 언어체계로 변환하는 해주는데 사용된다. Nameserver란? 영문 도메인을 네 자리의 IP주소로 매핑 시켜주는 서버를 말한다.

XSS (Cross Site Scripting) 크로스 사이트 스크립트은 서버의 서비스를 공격하는 일반적인 해킹방법이 아니라 해당 서버를 사용하는 사용자를 공격하는 기법이다. 1. XSS 일반적인 공격 기법은 이러한 구문을 넣음으로 취약점이 있는지 알아본다. ex) 클릭시 타사이트로 이동Click 2. iframe 태그 타사이트로 연결 가능하게 함 ex) 숨겨진 iframe를 이용해 타사이트로 이동 3. object 태그 ex) 지정한 파일이 존재하지 않을 다사이트로 이동하도록 함. 4. div 기법 ex) div 태그를 사용하여 이미지 등을 삽입시킨다. 5. 인코딩 기법 ex) 공격하려는 문자열을 다른 표현으로 인코딩하여 눈에 띠지 않거나, IPS, 웹방화벽 드의 감지패턴을 우회하기 위하여 인코딩한다...

웹 해킹을 하는 방법에는 크게 2가지로 나누어 진다.1. 직관적으로 취약점이 있을 만한 부분을 찾아서 침투하는 것이고,2. 전반적으로 발견 가능한 모든 공격 표면을 찾아서 매트릭스를 작성한 후 하나씩 공격해보는 기법이다. 기본적으로 해킹의 과정을 정리하면 공격 대상 선정 -> 정보 수집 -> 취약점 분석 -> 공격 -> 흔적제거이러한 식으로 이루어 진다. OWASP TOP10 1 - 인젝션 취약점 2 - 크로스 사이트 스크립팅 3 - 취약한 인증 및 세션 관리 4 - 안전하지 않은 직접 객체 참조 5 - 크로스 사이트 요청 변조 6 - 보안상 잘못된 구상 7 - 안전하지 않은 암호 저장 8 - URL접근 제한 실패 9 - 불충분한 전송 계층 보호 10 - 검증되지 않은 리다이렉트와 포워드

구글 해킹이란?이름만 보면 구글을 해킹하는 듯한 느낌이 든다. 그러나 이것이 구글 해킹이아니라 구글의 연산자들을 이용하여 알고자 하는 정보를 뽑아 내는 것을 말한다.구글에는 많은 연산자가 있다. 이를 이용하여 개인 정보 뿐만 아니라 많은 신상 정보를 알아 낼수 있다. 과연 구글 해킹이 얼마나 위험할까? 이러한 식으로 저자를 검색하면 이러한 블로그들이 나오는 것을 알수 있다.과연 이름이나 전화번호 같은 개인정보를 알고 있는 상황에서 검색을 하면 더 더욱 많은 자료와 더 많은 정보가 나올 것이다. 구글 해킹의 일반적인 공격을 보면따옴표(" ")따옴표를 이용하면 여러개 단어를 묶어서 검색할 수 있다. 예를들어, Pwn&Play z3alous라고 검색을 하면 ~ Pwn&Play ~ z3alous 로 검색이 되지..