kjh00n의 기록저장소

Basic 인증 공격● ID/PW를 Base64 방식으로 인코딩하여 전달한다.cd /var/www/htmlmkdir authvim auth.htmlhydra (TUI)● hydra -l [공격할 계정명] -p [공격할 계정의 패스워드] [공격대상] [프로토콜] [파일 경로] ● hydra -L [계정명이 담긴 파일] -P [패스워드가 담긴 파일] [공격대상] [프로토콜] [파일 경로]http대신 ftp, ssh 등 다른 프로토콜도 가능하다 [user와 password 파일 안에 들어있는 값에 따라서 알아올 수 있는 값들이 달라진다.]USER에는 user파일 안에 있는 값이 들어가고 PASS에는 password파일 안에 있는 값이 들어간다history는 hydra가 실패했는지 성공했는지 알 수 없기 때문에..

홈페이지 분석192.168.50.50 (홈페이지 구성) index.php → style_contents.css → head.php → style_head.css index.php(메인)head.php(메뉴)→ index.php→ board/board_list.php→ member/login.php→ member/register.php board/board_list.php(게시판 글 리스트)→ board_view.php → board/board_view.php?num=??? board_view.php (분석) (게시판)사용자가 입력한 게시글 번호를 확인, 조회, 출력(DB 접속, SELECT SQL문 작성, 질의, 결과 출력) → 조회 성공 시에는 게시글 출력이 되지만 조회 실패 시에는 아무것도 출력되지 ..

Foot Printing (수동적 정보 수집)● 침투 대상에 직접적으로 접근하지 않아도 수집 가능한 정보를 획득한다.● Open Source 정보 (OSINT) 수집OWASP, WASC, Netcraft, Achive, Whois 등 OWASP● 전 세계 웹 어플리케이션 보안을 위한 프로젝트● 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구한다.※OWASP 공격기법 아는것이 있는지 면접에서 물어볼 수도 있다~ Netcraft● 웹 서버의 종류 및 정보, Domain 관련 정보 Scanning (능동적 정보 수집)● 침투 대상인 웹 서버에 설치된 서비스 확인, 알려진 취약점 확인Port Scan, Vulnerability Scan 등● 웹 구조 파악 및 로직 분석미러 사이트 구성 및 ..

WEB 구성index.php 환영합니다. ".$_SESSION["nickname"]."님"; } ?> 웹 해킹을 공부하고 싶은데 연습할 곳이 없으시다구요? 실제 사이트에 연습하다가는 !!철컹철컹!! 아시죠? 이곳은 Web Hacking 연습을 위한 Test 사이트 ..

html● Tag를 이용하여 Web Data(웹 문서)를 생성하기 위한 프로그래밍 언어 Tag● 웹 문서 안에서 특정 기능을 구현하기 위한 문법, 문자 1. 원하는 기능 구현 기능태그 작성시 로 끝남 2. 태그는 시작태그와 끝 태그로 구성시작태그는 이고 끝 태그는  3. 해당 기능을 적용할 데이터는 시작태그와 끝 태그 사이에 입력 data  html 문서1. 항상 확장자로 .html로 사용 → 컴퓨터가 해당 문서를 html 문서로 인식2. html 문서 안에 주석 → , vscode에서 주석 단축키 → 원하는 데이터 드래그 후에 ctrl / 입력 html 문서의 기본 형식(구조)● 이 시작부분이다 → 문서의 형식 선언 (html 5 version)● html 문서의 시작을 알리는 태그● html..