HTML injection-Reflected(Get)방식에 이어서, 오늘은 Reflected기법 중 POST방법을 실습해볼게요 실습하는 모든 공격은 실제로 사용하시면 안됩니다. 허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며, 모든 법적 책임은 사용자에게 있는 것을 명심해주세요. 먼저 사이트에서 HTML injection - Reflected(POST) 항목을 선택해 주세요. 난이도는 low로 지정해줍니다. 난이도 하 POST 페이지로 들어왔습니다. 저번에 실습한 GET방식은 GET메서드로 HTTP 요청을 하였다면, POST방식은 POST메소드를 사용하여 데이터를 전송하기 때문에 서버로 전송하는 변수 값이 URL에 노출되지 않습니다. 그렇기 때문에 이번 실습은 버프스위트(Burp Suite)..

오늘은 bee-box를 이용해 간단하게 해킹 시뮬레이션을 해보도록 할께요! 이 글에 포스팅 목적은 제가 오늘 공부한 것들을 복습 겸 실습해보기 위함입니다. 실습하는 모든 공격은 실제로 사용하시면 안됩니다. 허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며, 모든 법적 책임은 사용자에게 있는 것을 명심해주세요. 오늘 글은 hacker(허가되지 않은 사용자)와 Victim(희생자) 로 실습을 해볼거고, Victim은 hacker가 심어놓은 악성코드 혹은 그외 공격들을 찾고, 보안을 해볼겁니다. '실습내용' 은 1. Hacker는 root권한을 탈취 2. Victim이 사용하는 bee-box에 스크립트 심어놓기. 3. 허가된 포트가 아닌 다른 포트 생성(백도어) 4. root계정말고 일반유저 계정에..

HTML 인젝션의 종류는 저번 게시글에서 포스팅 했었죠. 오늘은 Reflected기법 중 GET방법을 실습해볼게요 실습하는 모든 공격은 실제로 사용하시면 안됩니다. 허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며, 모든 법적 책임은 사용자에게 있는 것을 명심해주세요. 먼저 사이트에서 HTML injection - Reflected(GET) 항목을 선택해 주세요. 주소에 보시면 htmli_get.php 는 사용자가 입력한 값을 그대로 출력하는 페이지 입니다. 이때 입력 값을 검증하지 앟으면 웹 브라우저는 공격자가 입력한 HTML 태그를 해석하고 관리자가 의도하지 않는 내용을 출력합니다. 먼저 low(난이도 : 하) 단계를 실습해보도록 하겠습니다. 난이도 하 단계를 low로 설정한 후 시작해 봅..

오늘부터 bee-box책을 공부하기 시작해서 beebox를 꾸준히 실습해가면서 올려볼꺼예요. 그중 첫번째로 먼저 beebox가 무엇인지 알아보고 실습을 위한 기본 환경을 설정해준 후, HTMl 인젝션에 대해 알아볼께요. 비박스란 비박스(bee-box)는 웹 취약점을 공격할 수 있는 오픈소스 웹 애플리케이션인 bWAPP(buggy Web Application)이 설치된 가상환경으로, 웹 취약점 공격을 공부하기 위해 만들어졌습니다. 100여 개가 넘는 웹 취약점이 존재하며, 취약점은 OWASP TOP 10을 기준으로 분류되었습니다. 비박스는 다양한 취약점을 연구하고 실습해 볼 수 있으며, 난이도는 상(High) 중(Medium) 하(Low)로 나뉩니다. 비박스를 사용할 때 방법 1. 웹 애플리케이션인 bWA..

Bee box를 실습하려고 준비를 다하고 터미널을 딱 열었는데 키보드가 말이 안듣는다면!? 키보드 설정이 기본적으로 벨기에 키보드 자판으로 설정되어있어서 korea 나 english 키보드로 바꾸어 주면 되는데요! system 에서 keyboard로 들어가주세요. Layouts으로 들어가셔서 확인하시면, 저같은 경우는 Korea로 안되있을꺼예요!!(저는 이미 설정을 해준 상태입니다.) add를 클릭 해주시고 추가해주시면됩니다. (원래 있던 키보드 설정은 remove를 눌러서 지워주세요!) 설정은 korea로 해주시고 아래는 디폴트로 클릭 후 +Add를 눌러주시면 설정이 완료됩니다. 기존에 것을 지우시고 새로 만든 것을 클릭 후 close해주시면 한글 키보드와 동일하게 눌릴 꺼예요~ 그럼 수고하세용