분류 전체보기 19
무선 AP(WiFi) 침투

VMware 환경 및 칼리 리눅스에서 무선 AP 침투를 수행합니다. 침투 수행에 앞서 무선 USB 랜카드를 VMware에 연결 시킵니다. (USB 포트에 삽입하여 VMware로 연결) 무선 AP 침투 시 WPA 방식과 WEP 방식이 존재하며, 암호화 방식에 따라 사용되는 공격 절차가 상이합니다. WPA Crack 절차 1. sudo airmon-ng check kill (프로세스 간섭을 제거함) 2. sudo airmon-ng start wlan0 (인터페이스 설정 및 동작 시작함) 3. iwconfig ((monitor)모니터 모드로 변경 되었는지 확인 - 생략해도 무관함) 4. sudo airodump-ng wlan0 (무선 AP를 스캔함) 5. sudo airodump-ng wlan0 --chann..
보안 도구 사용방법 2023.11.07

칼리 리눅스 히드라 사용법

히드라는 지정된 대상에 반복적인 로그인 시도를 통해 이용자의 아이디와 비밀번호를 탈취할 수 있도록 하는 자동화 도구 입니다. 웹 로그인 시도 hydra -l Admin -P /dir/password.txt 192.168.0.2 http-post-form "/mgr/login.jsp:userid=^USER^&userpw=^PASS^&Login=Login:loginfail" -V -f -V : 로그인 시도 계정 과 비밀번호를 화면에 디스플레이 시켜줍니다. -f : 로그인을 성공하면 작업수행을 종료합니다. -t : 쓰레드 개수를 지정하여 병렬작업을 수행합니다. 작업속도가 빨리집니다. -s : 포트번호 지정 -s 80 (80번 http 포트 지정) -l : 단일 아이디만 시도합니다. "admin"만 로그인 시도..
보안 도구 사용방법 2023.09.10

관리자 페이지 노출

모의침투 및 취약점 진단을 하다보면 관리자 로그인 페이지 노출에 대해서 확인을 하게 됩니다. 그중 자주 확인된 관리자 로그인 페이지에 대해서 정리하였습니다. /phpmyadmin/ /phpMyAdmin/ /pma/ /manager/ /admin/ /webadm/ /adm/ /bbs/login.php (관리자 로그인 페이지로 사용 또는 일반 사용자 로그인 페이지로 사용됩니다.)(Gnuboard) /admin/login /cus/login /admin/login.jsp /wp-admin (WordPress) admin.sample.co.kr (서브 도메인 방식)
모의해킹 및 취약점 진단 2023.09.09

불안정한 약한 암호 알고리즘 사용

요약. 안전성이 강한 애플리케이션은 불안전하거나 약한 암호를 기피한다. 현재 컴퓨터의 계산 능력은 무차별대입을 통해 암호화를 우회한다. 예를들어 DES 알고리즘은 높은 불안전성으로 간주한다. DES 알고리즘으로 메시지를 암호화에 사용하면 EFF와 같은 머신에 의해 수일 안에 복호화 되버린다. 현재에는 DES 사용 시 보안적으로 안전하지 않으므로 다른 공개된 알고리즘(AES 암호 등)을 교체해야합니다. 바로 소스코드 보면서 진행해보겠습니다. 키 생성을 위한 소스코드입니다. 키 생성 시, 안전성을 위해 secuRandom이라는 안전한 난수를 추출하며, 258bit의 키를 뽑아내고자 합니다. 키 길이가 길수록 보안강도는 올라가게 되어있습니다. 그만큼 많은 경우의 수를 탐색 해야하기 때문입니다. 다음은 AES의..
시큐어 코딩 2020.03.27

public 메소드를 통한 private array 접근

프로그래밍 개발 시 접근 지정자를 통해 해당 데이터의 접근 권한을 지정할 수 있습니다. private , protected, public 그중 본 클래스에서만 접근할 수 있는 private 접근 지정을 통해 외부 클래스의 접근을 방지하여 데이터의 안전성을 가져가는 것입니다. 그러나 여기서 한 가지 조심해야할 점이 있습니다. 다른 자료형들은 괜찮으나, overwrite가 가능한 array는 public 메소드를 구현할 시 신중하게 구현해야합니다. 무엇을? 위의 사진은 private char array 형태로 setter,getter를 구현한 것입니다. 그러나 여기서 두 가지 취약점이 존재하게 됩니다. 바로 public getter,setter 메소드를 통해 private array의 주소를 통해 값을 조작..
시큐어 코딩 2020.03.24
1 2
더보기

티스토리툴바