모의해킹/Groot - 스터디
-
DVWA - CSRF ( Medium, High )모의해킹/Groot - 스터디 2023. 7. 26. 19:53
DVWA - CSRF ( Medium, High ) 입니다 개요 이 포스팅에서는 DVWA(Damn Vulnerable Web Application) - CSRF, Medium/High 단계 실습을 진행하면서 공부했던 내용에 대한 내용을 정리해 보았고, 모두 본인이 소유한 가상머신에서 실습이 이루어졌습니다 실습환경 M1 MacBook Air 16G RAM UTM - 가상머신 Kali Linux 2023.1 - Apple Silicon (ARM64) 목차 1. 취약점 설명 및 분석 - 소스코드 분석, CSRF 2. CSRF 실습 3. 대응방안 취약점 설명 및 분석 소스코드 분석 Medium과 High로 가면서 CSRF를 막기 위해 추가적으로 요청방식 검증과 csrf token을 추가하였다 비밀번호가 변경되었..
-
DVWA - Command Injection ( Medium, High )모의해킹/Groot - 스터디 2023. 7. 26. 10:39
DVWA - Command Injection ( Medium, High ) 입니다 개요 이 포스팅에서는 DVWA(Damn Vulnerable Web Application) - Command Injection, Medium/High 단계 실습을 진행하면서 공부했던 내용에 대한 내용을 정리해 보았고, 모두 본인이 소유한 가상머신에서 실습이 이루어졌습니다 실습환경 M1 MacBook Air 16G RAM UTM - 가상머신 Kali Linux 2023.1 - Apple Silicon (ARM64) 목차 1. 취약점 설명 및 분석 - 소스코드 분석, Command Injection 2. Command Injection 실습 3. 대응방안 취약점 설명 및 분석 소스코드 분석 Medium.php 와 High.php..
-
DVWA - Brute Force ( High )모의해킹/Groot - 스터디 2023. 6. 27. 16:50
DVWA - Brute Force ( High ) 입니다 개요 이 포스팅에서는 DVWA(Damn Vulnerable Web Application) - Brute Force, High 단계 실습을 진행하면서 공부했던 내용에 대한 내용을 정리해 보았고, 모두 본인이 소유한 가상머신에서 실습이 이루어졌습니다 실습환경 M1 MacBook Air 16G RAM UTM - 가상머신 Kali Linux 2023.1 - Apple Silicon (ARM64) 목차 1. 취약점 설명 및 분석 - 소스코드 분석, Brute Force 2. Brute Force 3. 대응방안 4. Secure Coing In Ubuntu - 2차인증 적용하기 취약점 설명 및 분석 소스코드 분석 // 위치 : /var/www/html/dvw..
-
DVWA - SQL Injection ( Low )모의해킹/Groot - 스터디 2023. 6. 27. 09:06
DVWA - SQL Injection ( Low ) 입니다 개요 이 포스팅에서는 DVWA(Damn Vulnerable Web Application) - SQL Injection, Low 단계 실습을 진행하면서 공부했던 내용에 대한 내용을 정리해 보았고, 모두 본인이 소유한 가상머신에서 실습이 이루어졌습니다 실습환경 M1 MacBook Air 16G RAM UTM - 가상머신 Kali Linux 2023.1 - Apple Silicon (ARM64) 목차 1. 취약점 설명 및 분석 - 소스코드 분석 2. SQL Injection 3. 대응방안 취약점 설명 및 분석 소스코드 분석 // 위치 : /var/www/html/DVWA/vulnerabilities/sqli -> low.php // 중요내용 제외 삭제..
-
DVWA - Brute Force ( Medium )모의해킹/Groot - 스터디 2023. 6. 21. 23:31
DVWA - Brute Force ( Medium ) 입니다 개요 이 포스팅에서는 DVWA(Damn Vulnerable Web Application) - Brute Force, Medium 단계 실습을 진행하면서 공부했던 내용에 대한 내용을 정리해 보았고, 모두 본인이 소유한 가상머신에서 실습이 이루어졌습니다 DVWA - Brute Force, Low 단계에서는 Wfuzz를 사용하여 실습을 진행하였고 Medium 단계에서는 Hydra를 사용하였습니다 실습환경 M1 MacBook Air 16G RAM UTM - 가상머신 Kali Linux 2023.1 - Apple Silicon (ARM64) 목차 1. 취약점 설명 및 분석 - 소스코드 분석, Brute Force, 관리자 페이지 2. Hydra 사용방법..
-
DVWA - CSRF ( Low )모의해킹/Groot - 스터디 2023. 6. 4. 14:50
DVWA - CSRF ( Low ) 입니다 개요 이 포스팅에서는 DVWA(Damn Vulnerable Web Application) - CSRF, Low 단계 실습을 진행하면서 공부했던 내용에 대한 내용을 정리해 보았고, 모두 본인이 소유한 가상머신에서 실습이 이루어졌습니다 실습환경 M1 MacBook Air 16G RAM UTM - 가상머신 Kali Linux 2023.1 - Apple Silicon (ARM64) 목차 1. 취약점 설명 및 분석 - 소스코드 분석, CSRF 2. CSRF 실습 3. 대응방안 취약점 설명 및 분석 소스코드 분석 // 위치 : /var/www/html/dvwa/vulnerabilities/csrf/source -> low.php // 중요내용 제외 삭제하였음
-
DVWA - Vulnerability: CSRF, low 문제풀이모의해킹/Groot - 스터디 2023. 6. 4. 14:47
DVWA - Vulnerability: CSRF, low 문제풀이 입니다 정보수집, 공격방법 선택 위와 같은 화면이 보이고 Test Credentials 는 아이디와 비밀번호 일치여부를 확인하는 곳이고 아래는 비밀번호를 바꾸는 곳이다 아이디, 비밀번호 일치 여부를 확인하기 위해서 아이디는 admin으로, 비밀번호는 password로 로그인해 보았다 비밀번호를 test로 하니 로그인에 실패했다 아래에서 비밀번호를 변경해 보았다 GET 방식으로 내가 입력한 비밀번호가 전달된다 하지만 변경 후 로그인을 시도하면 실패한다 CSRF 링크에 비밀번호를 내가 원하는 값으로 입력 후 전송해 보았다 비밀번호 변경에 성공했다 결과는 위와 같이 나온다 다음에 계속 사용하기 위해 원래 비밀번호로 변경해 준다 비밀번호를 원래대..
-
DVWA - Command Injection ( Low )모의해킹/Groot - 스터디 2023. 6. 3. 00:16
DVWA - Command Injection ( Low ) 입니다 개요 이 포스팅에서는 DVWA(Damn Vulnerable Web Application) - Command Injection, Low 단계 실습을 진행하면서 공부했던 내용에 대한 내용을 정리해 보았고, 모두 본인이 소유한 가상머신에서 실습이 이루어졌습니다 실습환경 M1 MacBook Air 16G RAM UTM - 가상머신 Kali Linux 2023.1 - Apple Silicon (ARM64) 목차 1. 취약점 설명 및 분석 - 소스코드 분석, Command Injection 2. Command Injection 실습 3. 대응방안 4. Reverse Shell 취약점 설명 및 분석 소스코드 분석 // 위치 : /var/www/html..