728x90 칼리리눅스2 CAPTCHA 공격 오늘은 CAPTCHA 를 공격하는 방법을 알아보겠습니다. CAPTCHA란 아래와 같이 기계가 인식할 수 없는 늘어뜨린 글씨로 사람인지 파악하는 겁니다. 회원가입이나 비밀번호 변경같이 사람이 직접하지 않으면 문제가 되는 상황에 쓰입니다. 하지만 이를 제대로 구현하지 않으면 해커는 이를 우회하여 공격할 수 있습니다. 비밀번호 변경이 다음과 같이 두단계로 이루어집니다. 1. CAPTCHA 확인 2. 확인 완료, 비밀 번호 변경 이렇게 인데 해커가 마치 CAPTCHA를 이미 확인한 것과 같이 꾸미는 겁니다. 자, 그럼 DVWA 로 가보겠습니다. 보안을 LOW 단계로 설정하고 비밀번호를 normal로 바꿔 보겠습니다. 변경되었다는 메세지가 나옵니다. burp-Start 로 가서 확인해봅니다. 첫번째 요청을 확인해.. 2020. 5. 7. 파일 업로드 공격 오늘은 파일 업로드 공격을 배워보겠습니다. 파일 업로드 공격이란 파일이 업로드 될 수 있는 페이지에 악성 파일(웹쉘)을 업로드하는 것 입니다. 웹쉘이란 커맨드 인젝션에서 본 것과 비슷하게 웹을 통해 시스템 명령어를 실행할 수 있는 페이지 입니다. 실습을 해보도록 하겠습니다. dvwa 를 열고 보안 등급을 low 로 해주세요. 웹쉘 파일 올려보겠습니다. 저희가 사용할 웹쉘의 내용은 이러합니다. php 프로그램으로 초반엔 커맨드를 입력해라는 내용과 사용자 입력을 받기 위한 폼을 표시하는 html 를 출력하고 cmd 라는 값이 설정되어있으면 system 이란 함수로 실행되는 내용입니다. 즉 사용자가 입력한 명령어를 실행하게 됩니다. https://github.com/SecuAcademy/webhacking/b.. 2020. 5. 6. 이전 1 다음 728x90
