본문 바로가기

해킹과 보안 동향

rapid7 nexpose 설치 - nexpose 설치 방법에 대한 상세한 글이 없어서 직접 작성한다. nexpose?        - 참고https://www.rapid7.com/products/insightvm/download/https://discuss.rapid7.com/https://help.rapid7.com/nexpose/ko-kr/Files/3539.htmlhttps://www.youtube.com/watch?v=dz-b0wSXVhQhttps://blog.naver.com/snova84/223337979583 더보기
RHEL 9.4 설치 방법 - Red Hat 9.4 iso 설치 방법에 대한 상세한 글이 없어서 직접 작성한다. - 신용카드 등록 안해도 됨, 회원가입은 해야됨, 서브스크립트 설정 해줘야함 - 2025.02.11 기준 1. 공식 홈페이지> 회원가입 후 리눅스 클릭 2. 원하는 릴리스 버전 선택 >  3.1절. “설치”  클릭 > 제품 다운로드 클릭 > 리눅스 클릭3. 버전이 9.5만 있는데 9.4를 설치해야되므로 " 모든 Red Hat Enterprise Linux 다운로드" 클릭해당 페이지에서 9.4 버전 다운로드 (rhel-9.4-x86_64-dvd.iso) 4. vmware에서 Red Hat Enterprise Linux 9 체크 후 설치 진행 > 마지막 customize hardware에서 iso 이미지 선택 5. 일반적인.. 더보기
자동 진단 툴 비교(burpsuite pro, arachni, nexpose, nessus..) 더보기
[A1-1]bWAPP. HTML Injection - Reflected (GET) html 인젝션이란? 공격 실습) [low] [medium] 공격 실습) security level low에서 했던 스크립트가 그대로 출력되는 것으로 보아 필터링으로 보안을 적용한 것으로 보인다. 우회할 다른 태그를 입력해도 안되어 소스코드를 보니 특수문자""를 substring함수를 사용해서 url 인코딩 값으로 치환한거 같다. -> %3Cscript%3Ealert(1)%3C%2Fscript%3E 다음과 같이 을 한번 인코딩 하고 입력하니 공격이 성공했다. view-source 더보기
bWAPP. A1 - injection owasp top 10 injection 더보기
bee-box 구축 비박스와 dvwa 차이 둘 다 모의해킹 실습할 수 있는 오픈소스 웹 애플리케이션 가상환경이다. 비박스는 2013년도 owasp top10 기준 취약점으로 예전 기준이긴 하지만 문제 유형이 많고(A1~A10까지 100가지 기술 이상) 다양하다.{단계 = low, medium, high} dvwa는 유명한 공격 10가지 취약점 항목이 있고 view-source 같은 힌트를 볼 수 있어 비박스에 비해 비교적 접근하기 좋고 높은 레벨로 갈수록 대응 방안도 알 수 있어 공부하기 좋다.{단계 = low, medium, high, impossible} (sql 인젝션[2], XSS[2], CAPTCHA공격, 브루트포스 공격, 파일 업로드, 파일 인클루션, CSRF, 커맨드 인젝션) 비박스 세팅 bee-box 비박스 .. 더보기
dvwa. XSS 공격 #9-1(low) 보호되어 있는 글입니다. 더보기
dvwa. sql 인젝션 #7-2(medium, high, impossible) medium high impossible 쿼리는 이제 동적 쿼리가 아니라 매개 변수화된 쿼리이다. 이는 쿼리가 개발자에 의해 정의되었으며 어떤 섹션이 코드이고 나머지는 데이터인지 구분했음을 의미한다. 더보기

티스토리툴바