Hacking/Tools
[역량강화] Burp Suite 기초
[역량강화] Burp Suite 기초
2024.03.19-2024.03.19- 2022년에 입사한 회사에서 최근에 다른 사이트로 부서이동을 했다. 그와 동시에 새로 이동한 사이트에서 좋은 선배를 만나 역량강화 트레이닝을 받게 되었다. 사실 다 아는 기초역량 이지만 과제를 주시며 하셨던 첫 서두는 탄탄한 기초지식이였다. 그래서 Notion이든, 블로그든 어디든 이걸 기록함으로써 나중에 정보가 필요할때 다시 찾기 쉽게 관리를 잘 해두라고 하셨다. 100번 생각해도 101번 맞는생각이라 나도 내가 공부한것들을 여기 블로그에 작성하여 남기기로 했다. 애초에 이 블로그가 그런것을 목적으로 만들었기때문에..본디 개개인의 역량을 잘 다듬을 수 있길 ※ 본 아래 글은 제가 설명하고 추후에 이해가 쉽도록 풀어쓴 해석 및 기능의 설명이 있습니다. 따라서, 본디 그 기능의 정의..
[4] HTTP 통신을 하는 프로그램(CS)를 버프에서 잡아보자
[4] HTTP 통신을 하는 프로그램(CS)를 버프에서 잡아보자
2023.05.06- 2023.05.06 - 해당 블로그의 내용에는 실제로 모의해킹 및 취약점 진단에 사용되고 있는 실제 진단도구가 언급됩니다 해당 프로그램은 보안점검, 보안교육을 위해서만 사용하길 권장하며 블로그 내용의 목적이 오롯이 교육의 성격에 초점이 맞추어져 있습니다 본 과정을 악용하여 사용하는 발생하는 2차 피해에 대해서는 행위자가 법적 책임을 질 수 있으며 일어나는 모든 피해에 대해서는 책임지지 않습니다. 허가받지 않는 해킹은 명백한 불법입니다. 안녕하세요. wolfcall입니다. 모두들 어른이날 잘 지내고 계시죠? 오늘은 http통신을 하는 프로그램을 버프에서 확인하는 방법을 기록합니다. 업무를 하다가 개발 진단 및 S/W도입검토, 장비 입고 등의 이유로 인프라 진단이 있을 수 있지만 S/W 보안성검토로 프로..
[3] 버프에 SSL이 적용된 사이트 proxy 환경 설정하기(인증서 에러)
[3] 버프에 SSL이 적용된 사이트 proxy 환경 설정하기(인증서 에러)
2023.04.28- 2023.04.28 - 버프를 통해 SSL이 적용된 https 사이트에 접근을 하다보면 위와 같은 에러 메세지를 맞딱뜨리게 된다. 문구는 이렇다. 공격자가 www.daum.net에서 정보 (예:비밀번호, 메시지, 신용카드 등)를 도용하려고 시도 중일 수 있습니다. 하지만 걱정하지 않아도된다. 이유는 그 공격자가 내가 조금전에 사용한 버프이기 때문이다 ㅋㅋ 이경우 보통 신뢰할 수 없는 인증서이거나 인증서가 없을때 발생하는데 아래의 과정을 거쳐 해결 할 수 있다. 우선 버프안에서 자체적인 브라우저를 열고 주소창에 아래와 같이 입력하여 접근한다. http://burp 간혹 일반 브라우저에서 해당 위 사이트에 접근하려고 하는데 그럴경우 당연히 되지 않는다. 반드시 버프 자체 브라우저에서 해당 경로로 접근해야..
[2] Burp Suite와 프록시를 같이 사용해보자(Proxy switcher Lite)
[2] Burp Suite와 프록시를 같이 사용해보자(Proxy switcher Lite)
2023.04.27- 2023.04.27 - 해당 블로그의 내용에는 실제로 모의해킹 및 취약점 진단에 사용되고 있는 실제 진단도구가 언급됩니다 해당 프로그램은 보안점검, 보안교육을 위해서만 사용하길 권장하며 블로그 내용의 목적이 오롯이 교육의 성격에 초점이 맞추어져 있습니다 본 과정을 악용하여 사용하는 발생하는 2차 피해에 대해서는 행위자가 법적 책임을 질 수 있으며 일어나는 모든 피해에 대해서는 책임지지 않습니다. 허가받지 않는 해킹은 명백한 불법입니다. # Info Proxy Switcher Lite 제작사 : Proxy Switcher 버전 : v7.3.0 7926 (23.04.27 기준) / Lite 용량 : 3,970kb 유형 : 응용프로그램(.exe) 다운로드 명 : ProxySwitcherLite.exe 다운..
[1] 보안 점검도구 Burp Suite 초기 셋팅
[1] 보안 점검도구 Burp Suite 초기 셋팅
2023.04.26- 2023.04.26 - 해당 블로그의 내용에는 실제로 모의해킹 및 취약점 진단에 사용되고 있는 실제 진단도구가 언급됩니다 해당 프로그램은 보안점검, 보안교육을 위해서만 사용하길 권장하며 블로그 내용의 목적이 오롯이 교육의 성격에 초점이 맞추어져 있습니다 본 과정을 악용하여 사용하는 발생하는 2차 피해에 대해서는 행위자가 법적 책임을 질 수 있으며 일어나는 모든 피해에 대해서는 책임지지 않습니다. 허가받지 않는 해킹은 명백한 불법입니다. #info Burp Suite 제작사 : PortSwigger 버전 : v2023_3_5(23.04.26 기준) / Community Edition 용량 : 251,761kb 유형 : 응용프로그램(.exe) 다운로드 명 : burpsuite_community_windo..
msfconsole 명령어 저장(자동화) 세팅
msfconsole 명령어 저장(자동화) 세팅
2022.08.23- 2022.08.23 - MSFCONSOLE metasploit ( aka msfconsole ) 01. 특징 - 공격 도구 - 취약점 분석, 공격 도구, 보안 평가 - 루비(Ruby)언어로 제작된 도구 - 모듈화 02. 활용 - 모의 해킹, 취약점 진단, 자동화 도구 03. 용어 - exploit(익스플로잇) : 공격 행위 시작 (시스템, 어플리케이션, 서비스 등) - payload(페이로드) : 셸 코드, 공격 코드 - Module(모듈) : 루비 모듈 - Session(세션) : msf와 공격 대상과의 상호 연결 04. 모듈 - exploit : 공격 행위 시작 - Auxialiary : 페이로드를 필요로 하지 않는 공격, 정부 시집 관련 공격 - Post : 익스플로잇 공격 후 추가 공격 - P..