[P-Web] 04. 세션 하이재킹 (Session Hijacking) * 본 내용은 정보보안 모의프로젝트 자료입니다 * 3) 인증 우회 [A-02~03] 3-1) 취약점 개념 설명 쿠키는 웹 애플리케이션에서 사용자를 구분할 때 사용하는 HTTP 프로토콜 중 하나입니다. 클라이언트가 웹페이지에 접속 시 쿠키를 부여받게 됩니다. 이를 통해 인증 없이 사용할 수 있습니다. 이 쿠키에 대한 보안정책을 마련하지 않는다면 공격자에 의해 쿠키가 탈취되어 클라이언트로 위장하여 사용자의 권한을 획득하여 서비스를 활용할 수 있게 됩니다. [그림 3-13] 인증 우회 시나리오 3-2) 취약점 점검 (1) 쿠키 재사용 여부 [표 3-2] 쿠키 재사용 점검 위치 쿠키 재사용 여부 점검은 [표 3-2]의 위치에서 실시합니다. [그림 3-14] Burp Suite를 이용한 쿠키 재사용 점검 프록시 .. 프로젝트 [Project]/웹 서비스 모의침투 (Web) 5년 전
[P-Web] 03. 무차별 대입 공격 (Brute force attack) * 본 내용은 정보보안 모의프로젝트 자료입니다 * 1) 계정정보 추측 및 대입 [A-01] [그림 3-4] 무차별 대입 공격 시나리오 Brute Force란? 무차별로 임의의 문자를 조합해 하나씩 대입해 보는 공격 기법이다. 그야말로 일치할 때까지 모든 경우의 수를 시도한다. [그림 3-4]는 Brute Force의 심화 공격인 사전 대입 공격이다. 미리 정의된 문자열 목록을 .txt 파일에 저장하여 하나씩 대입하며 오랜 시간 끝에 결국은 공격을 허용하게 된다. 2-2) 취약점 점검 [그림 3-5] 공격 페이지(login.asp) 본 점검은 Line Studio 로그인 폼에서 실시하였습니다. [그림 3-6] 임의 값의 파라미터 확인 아이디와 비밀번호를 전송하는 파라미터를 확인하여 해당 부분의 값만을 계속.. 프로젝트 [Project]/웹 서비스 모의침투 (Web) 5년 전
[P-Web] 02. 웹 환경 분석 (Web Environmental Analysis) * 본 내용은 정보보안 모의프로젝트 자료입니다 * 다. 상세 설명 1) 환경 분석 [그림 3-1] LINE STUDIO 웹페이지 사용 언어 확인 Line Studio는 *.asp 환경을 기반으로 구성되어 있음을 확인하였습니다. 다음으로 웹 서버의 환경에 대한 정보를 수집합니다. [그림 3-2] Nmap을 이용한 웹 서버 스캔 결과 [그림 3-3] Nikto를 이용한 웹 서버 스캔 결과 [그림 3-3]으로 Line Studio 웹서버는 Microsoft-IIS 5.0을 사용하고 있음을 확인되었고, [그림 3-2]으로 Windows 2000 서비스팩 4를 사용하고 있음을 확인하였습니다. 그리고 Database는 MMSQL을 사용하며 총 9개의 포트가 열려있었습니다. [표 3-1] 웹 서버 환경 분석 결과 프로젝트 [Project]/웹 서비스 모의침투 (Web) 5년 전
[P-Web] 01. 웹 서비스 모의침투 개요 * 본 내용은 정보보안 모의프로젝트 자료입니다 * 가. 개요 1) 모의해킹 정의 본 모의해킹 진단은 Line Studio 웹 페이지의 서비스와 관련된 모든 정보 자산에 대한 취약점 분석 및 도출하여 대책을 수립하기 위함입니다. 크래커와 같은 환경, 조건을 가지고 모의적인 침투로 이루어지며, 발견된 취약점에 대해서는 사전 방어대책을 통한 예방 효과를 이루는 데 목적을 두고 있습니다. 2) 수행일정 및 수행인원 본 모의해킹은 2020년 02월 01일부터 ~ 2020년 02년 05일까지 진행이 되며 총 1명의 인원이 투입됩니다. [표 1-1] 웹 모의해킹 일정표 3) 수행 대상 및 장소 본 모의해킹은 아래의 대상으로 진행되며, 절차별로 해당 대상에 대한 서비스 및 피해사례 점검이 이루어집니다. [표 1-2] .. 프로젝트 [Project]/웹 서비스 모의침투 (Web) 5년 전
