whois

웹해킹이나 웹 관련 워게임 문제를 풀 때 많이 사용하는 Burp Suite 한 번쯤은 들어 보셨을거라 생각한다. Burp Suite 설정 부분과 크롬을 이용한다면 Burp Suite와 함께 사용하면 좋은 확장 프로그램을 소개하려 한다. Burp Suite 설정은 검색하면 많이 나와 있지만 제가 겪었던 에러 사항을 토대로 진행해 보려 한다. 저와 같은 에러를 겪은 사람이 있을 것으로 본다. [그림 1] Burp Suite Proxy Options Burp Suite를 실행하고 Proxy 탭의 Options로 가면 그림 1과 같은 화면을 볼 수 있다. 기본 설정으로 127.0.0.1:8080이 되어 있다. Running 부분을 클릭 했을 때 정상적이라면 체크 표시가 되겠지만 아무리 클릭해도 체크가 안 되는 ..

HTTP는 메시지 기반 모델로서 클라이언트가 요청 메시지를 보내고 서버가 그에 대한 응답 메시지를 보내는 방식이다. 요청과 응답에 대한 교환은 독립적으로 취급돼 각기 다른 TCP 연결을 사용한다. 따라서, 비연결지향적 프로토콜이라고 한다. HTTP 메소드- GET 메소드 : 웹서버에 있는 자원을 얻을 때 사용하며, 요청된 자원의 URL 쿼리 문자열에 인자 값을 보내는 용도로도 사용할 수 있다. 이를 통해 사용자들은 URL을 동적인 자료로 즐겨찾기에 저장해두고 나중에 같은 자원을 찾을 때 활용할 수 있다.- POST 메소드 : 특정 행동을 시작할 때 사용한다. POST 방식을 이용해 요청 인자를 URL 쿼리 문자열이 아닌 메시지의 바디에 보낼 수 있다.- HEAD 메소드 : 요청과 비슷하게 작동하는 메소드..

HTTP는 가볍고 비접속 기반이다. 일반적으로 알려진 취약점- 인증 실패 : 이 범주의 취약점은 애플리케이션의 로그인 메커니즘상의 다양한 취약점을 아우르는 것으로, 쉽게 추측 가능한 비밀번호를 허용한다든지 무차별 대입 공격을 허용하거나 인증을 우회하는 것을 허용하는 취약점이 포함된다.- 접근 제어 실패 : 이 범주는 애플리케이션이 민감한 데이터나 기능에 대해 불법적인 사용자의 접근을 제대로 제어하지 못하는 것으로 공격자가 서버 내의 다른 사용자의 민감한 데이터를 열람한다든지 서버 관리자용 업무를 임의로 수행하는 것을 차단하지 못하는 것을 가라킨다.- SQL 인젝션 : 이 취약점은 공격자가 웹 애플리케이션에 특별히 조작된 입력 값을 제공해 해당 애플리케이션이 뒷단의 데이터베이스와 연동하는 과정에서 공격자가..