728x90 해킹/웹해킹12 커맨드 인젝션 공격 대응 https://com24everyday.tistory.com/32?category=1114111 커맨드인젝션 공격 안녕하세요. 부산 공수니입니다. 오늘은 '커맨드 인젝션'에 대해 알아보겠습니다. 바로 Go. 컨맨드 인젝션은 명령어를 삽입한다는 뜻으로 웹을 통해 시스템 명령어를 실행하는 공격입니다. 만약 웹 내부에서 시스.. com24everyday.tistory.com 커맨드 인젝션 공격 대응을 알아보겠습니다! 커맨드 인젝션을 잘 모르시는 분은 위 포스팅으로 갔다와주세요ㅎㅎ 커맨드 인젝션에 가장 좋은 대응 방안은 입력 값이 적절한 값인지 조사하는 것 입니다. DVWA 에서 했듯이 IP 주소를 입력받는 거라면 입력값이 실제로 IP 주소인지 검증하는 과정이 들어가면 좋습니다. DVWA 의 'impossibl.. 2020. 5. 2. 커맨드인젝션 공격 안녕하세요. 부산 공수니입니다. 오늘은 '커맨드 인젝션'에 대해 알아보겠습니다. 바로 Go. 컨맨드 인젝션은 명령어를 삽입한다는 뜻으로 웹을 통해 시스템 명령어를 실행하는 공격입니다. 만약 웹 내부에서 시스템 명령어를 실행하는 경우 검사를 거치지 않는다면 해커 마음대로 시스템을 조작할 수 있게 됩니다. -커맨드 인젝션 공격 실습 *ping : IP 주소를 가진 어떤 시스템이 현재 동작하고 있는지 사용하는 명령어입니다. Security 를 'low'로 설정하고 Comman Injection 으로 갑니다. '127.0.0.1'을 입력해봅니다. 소스 코드를 확인해 보겠습니다. shell_exec : 시스템 명령어 내리는 함수 $target -> request : 웹 요청으로 부터 전달된 'ip' 값임을 알 수.. 2020. 5. 2. 브루트포스 공격대응 무차별대입공격 알고 싶으시다면 밑의 포스팅을 보고 와주세요ㅎㅎ https://com24everyday.tistory.com/30 브루트포스(Bruteforce) 브루트포스 공격 무차별 대입 공격이라고 합니다. 사용자 패스워드를 알아내기 위한 공격 무식하게 패스워드 계속 대입! 방법 1. 알파벳 순으로 차례차례 입력 ex) 과거 휴대폰을 사용할때 비밀번호 잃어버려서 11.. com24everyday.tistory.com 대응 방법에 대해 알아보겠습니다! DVWA 의 Security 를 'medium'으로 submit 해줍니다. View Source sleep(2) 을 해서 브루스 포스 공격을 늦춰버립니다. 이러면 시간이 오래걸리기 때문에 브루스포스 공격을 어느정도 막을 수 있습니다. 다음은 Security.. 2020. 5. 1. 브루트포스(Bruteforce) 브루트포스 공격 무차별 대입 공격이라고 합니다. 사용자 패스워드를 알아내기 위한 공격 무식하게 패스워드 계속 대입! 방법 1. 알파벳 순으로 차례차례 입력 ex) 과거 휴대폰을 사용할때 비밀번호 잃어버려서 1111 부터 9999까지 치신 경험 있으시죠? 2. 딕셔너리 공격 :많이 쓰는 비밀번호를 모아서 넣어보는 것/ 브루트포스 공격 사용자 패스워드를 알아내기 위한 공격 무식하게 패스워드 계속 대입! 방법 1. 알파벳 순으로 차례차례 입력 ex) 과거 휴대폰을 사용할때 비밀번호 잃어버려서 1111 부터 9999까지 치신 경험 있으시죠? 2. 딕셔너리 공격 :많이 쓰는 비밀번호를 모아서 넣어보는 것/ 패스워드로 만든 사전 DVWA 로 실습 *level 은 low 입니다. 아이디를 admin 으로 쓰는 사람이.. 2020. 5. 1. 이전 1 2 3 다음 728x90
