전체 글 (74) 썸네일형 리스트형 4주차 Burp Suite REQUEST/RESPONSE 게시판 4주차 Burp Suite 게시판 Burp Suite - Web Proxy Tool - 중간자 역할 웹서버와 클라이언트사이에 오고가는 패킷을 캐치라고 전달한다 - Proxy | Repeater | Decorder | Comparer -> Next -> usedefault burf -> start PROXY - 통신하는 패킷을 하나하나 직접 보고 중간에서 데이터를 고칠 수 있다 - 다른 서버의 통신을 내 서버를 거쳐가게 할 수 있다. 어떤 응답과 통신 하는지 알수있다 앱 해킹할때 용이 PROXY Listener - Proxy tool 웹서버와 클라이언트의 데이터통신의 전달자! 대신해주는 역할 - Listener가 대신 통신하는 역할이고 프록시의 핵심이다! - Proxy 없으면 웹서버 클라이언트 | Prox.. 3주차 로그인 로직 식별/인증 HASH COOKIE/SESSION 3주차 로그인 로직 식별과 인증 HASH COOKIE SESSION 로직 (로그인 과정) -식별 -인증 식별 -데이터들 중에 특정 데이터를 찾아 확인하는 것 -동명이인도 식별이 가능하다 본인만 가지고있는 unique한 것으로 식별하기 때문이다. - 따라서 식별할 ID는 PRIMARY KEY로 중복이 되지 않게 설정 - 또한 식별정보는 노출이 되어도 상관이 없다 - select * from member where id ='normaltic' ->식별 + 식별정보 -> ID 전화번호 이메일 +고유식별정보는 해당 집합내에서 한명만 가지고있는 것, 노출이 되면 안된다. -> 주민번호, 여권번호 인증 -본인이 맞는지 인증정보를 비교해 확인하는 것 - 로그인도 인증절차다 - 인증정보는 유출되면 안된다 EX) -> .. 2주차 DB PHP로 생성 / 출력 / 입력 / SQL / Docker DB PHP로 생성, 출력, 입력과 SQL, Docker DB생성 PHP를 이용해서 MYSQL 관리 -> DB를 UI로 조작할 수 있다 - http://192.168.154.128(내 아이피):1018(포트번호)/phpmyadmin - student아이디 test1234 비번 - index.html(메인페이지)라는 페이지를 만들고 저 주소로 접속해서 DB만들 수 있다. -> DB 생성 - new버튼딸깍 DB이름입력 - 만들기 -> TABLE생성 - TABLE이름 입력 - 만들기 -> COLOMN 생성 - INT 숫자, VARCHAR 가변적문자, PRIMARY 기준, - A.I 오토인크리먼트(자동으로숫자늘리기 엑셀처럼, 자동이니까 값을 굳이 안넣어도 자동으로 생성) SQL -WAS가 DB수정해,입력해,출력.. 1주차 웹 GET POST 웹 GET POST 웹서버의 구조 WEB/WAS/DB WEB - 정적페이지 변하지 않는 정보 HTML WAS - 동적페이지 PHP/ASP/JSP등의 언어로 정보를 만들어서 웹서버에 전달 - 웹 어플리케이션을 실행하고 결과를 웹 서버에 전달 - php,jsp,asp 등의 언어 사용으로 동적인 페이지 제작 가능 - 프로그램 실행환경, 데이터베이스 접속 가능 DB - 데이터를 저장 데이터 관리 프로그램 엑셀이랑 비슷하다 즉, DB가 WAS에게 데이터를 주고 WAS가 WEB에 찍어준다! HTML 이 PHP 보다 우선순위 높다 WEB - 파일전달기능 - web시작(루트/)으로부터 하위 디렉토리 및 파일을 본다. ->웹서버가 실행되는 경로가 웹루트경로 부터 실행되는것 대부분 /var/www/html 이 기본경로로 .. 어플리케이션 보안 운영 1. 2.computername 3.dns -> tcp/ip utc -> -9시간 해서 2. 2012172640 reverse.php -> /upload/editor/image ps_eaf 5244 ->112.216.97.29 access.log 112.216.97.29 /upload/editor/image 3. sendmail 보낸대상 192.168.10.20 에러메세지 9월8일 13:17 Reject 13:17:01 Discard -> reject discard 시간 두개 4. 업로드 다운로드 취약점시 html,php,htm과 같은 웹에서 동작되는 파일확장자를 업로드 할수 없게 함 DB 보안 구축 1. [텔넷 서버] yum install telnet-server (서비스실행) service telnet.socket restart [방화벽설정] firewall-cmd --permanent --add-port 23/tcp firewall-cmd --reload ================================================ useradd sevas passwd sevas asd123 와이어샤크 켜진 상태에서 telnet 192.168.10.10 sevas asd123 tcp.stream eq 1 회색 SYN,ACK follow tcp stream ssh -l sevas 192.168.10.10 asd123 tcp.stream eq 2 회색 SYN,ACK follow tcp st.. 리마 프롬포트 환경번호는 PS1 역슬래시 \ 다음줄 >명령어 다 못쳤을때프롬포트 PS2 select 문자열 PS3 디버깅 문자열 + PS4 프로토콜 구문 순서 의미 /etc/services 모든! 프로토콜 포트번호!! 확인 /etc/protocols 사용!가능!한! 프로토콜 etc/~~ 전역 bashrc alias랑 함수설정 profile 환경변수 passwd 소유권도 나옴.. /usr/bin/passwd SET-UID SET-GID등 s권한 나옴 shadow passwd의 패스워드부분 root만 접속가능이래 /etc/default/useradd 사용자추가시 /etc/fstab 첫번째 필드 장치명볼륨라벨uuid 두번째 마운트위치 셋포맷종류 넷옵션 /sbin/nologin 시스템계정에설정되는 셸 교체프로세스 e.. Q 0. POST GET 차이 POST : url에 입력한 값이 보인다 요청정보가 헤더에서 바디로 안넘어간다 GET : url 에 입력한 값이 보이지 않는다 1. 쿠키와 세션의 차이 쿠키 : 사이트의 클라이언트 정보를 브라우저에 저장 /용량제한있음,보안에 취약함 /세션(서버)에서 정보를 가져오기위한 식별값(클라) 세션 : 클라이언트의 정보를 서버에 저장하고 관리 /서버부하심해짐 /세션은 연결정보 토큰 : 서버에서 클라이언트에게 토큰 부여 토큰이 일치하면 정보열림 클라이언트에 저장 2.피싱 스미싱 파밍 피싱 : 낚시해서 개인정보 입력하게함 스미싱 : 문자로 낚시함 링크누르게 함 파밍 : 사용자 pc조작 pc를 악성코드에 감염시킴-> 가짜 웹사이트 들어가게해서 개인정보 입력하게 함 3. HTTP HTTPS HT.. 이전 1 2 3 4 5 6 ··· 10 다음
