분류 전체보기 썸네일형 리스트형 [astaro] 기본설치 부터 dhcp설정,확인까지 가장 최근버전이며 한글을 지원하는 asg-9.401-11.1 버전을 사용하겠습니다vmware환경에서바로 설치 시작하겠습니다 이미지 삽입을 하겠습니다 이름과 경로 설정해주시면 됩니다 메모리를 최소 2GB를 해주시는게 좋습니다그이하는 astaro가 힘들어해요ㅜㅜ 우리 망 안에서 사용해야 하기때문에 host-only로 설정해 줍니다이렇게 이미지 삽입은 끝났습니다 네트워크 설정vmware 상단메뉴에 edit - virtual Network Editor에 가셔서 설정하시면 됩니다.기본적으로 네트워크는 3개가 필요하니 3개를 추가시켜줍니다용도는 서버,클라이언트, NAT VMnet1번은 DHCP체크를 해제하겠습니다.IP를 저렇게 바꿔주시고 VMnet Name잘보고 해주세요 의미있는것입니다briedge: vmnet1(.. 더보기 [NAT] 기초 개념잡기(NAT PAT Port-Forwarding HTTP/HTTPS) NAT를 공부하며 연결되는 PAT, Port-Forwarding, HTTP와HTTPS의 차이점까지 요점 정리하겠습니다 그림을 통해 쉽게풀어쓴 NAT의 기초 개념잡기 본 게시글은 네트워크 입문자에게 적합한 글입니다NATNetwork Address Translation으로 말그대로 네트워크 주소변환이다NAT는 외부 네트워크에 알려진 것과 다른 IP주소를 사용하는 내부네트워크에서 IP주소를 변환하는것이다. - 일단은 가볍게만 알아두시고 그림을 보면서 자세히 설명드리겠습니다. 왜 NAT(주소변환)를 해야 하나요?1) 공인 IP의 부족한 문제를 해결집집마다 공인IP를 사용한다면 전세계 사람들이 사용하기에 IP의 갯수는 턱없이 부족하게 됩니다.그래서 NAT를 사용하여 1개의 공인IP에 여러개의 사설IP를 부여하여 .. 더보기 [WebGoat풀이] Spoof an Authentication Cookie 문제풀이 해당 문제는 쿠키를 이용하여 쿠키값을 바꿔 로그인세션을 바꿔버린다고 생각하시면 되겠습니다. 먼저 문제입니다. 형광펜을 보시면 사용할수 있는 계정과 PW가 나와있습니다 그럼 이렇게 로그인해서 EditThisCookie를 사용해서 쿠키를 보겠습니다. WebGoat계정의 쿠키입니다 WebGoat계정의 쿠키입니다 aspect도 똑같이 쿠키를 보기위해 로그인합니다 aspect계정의 쿠키입니다 aspect계정의 쿠키입니다 쉽게 보기 위해서 두 계정의 쿠키를 메모장에 옮겼습니다.최대한 규칙성을 찾아봤지만 도저히 나오지 않았습니다 그래서 저는 노트에 써보고 규칙성을 찾아보았습니다.결과는 의외로 쉬웠습니다. 보이십니까? WebGote라는 패스워드에서 알파벳을 1단계씩 올린 후에 순서를 거꾸로 바꿨습니다그래서 w->x, .. 더보기 [웹취약점] 파일 업로드의 취약점과 해결방안 읽기전에!! 주의사항!!현재 실습환경은 직접 제작한 홈페이지 환경에서 취약점을 찾는 방식입니다. 외부 사이트가 아닌 제가 서버를 열어서 하는 실습입니다. 다른 외부 사이트에서 실습하시면 법척 처벌을 받으실 수 있으니 절대 따라하지 마세요만약 처벌을 받게 되셔도 저는 미리 경고를 했기 때문에 저와는 무관함을 알려드립니다.또한 이글을 읽고 실습을 따라하시는 것은 주의사항을 읽으셨다고 간주하여 본 블로거와는 관련이 없음을 말씀드립니다.다시한번 말씀드리지만 일반 홈페이지에 절대 하지 마세요 범죄입니다. 파일업로드의 취약점?오늘 해보는 시나리오는 이렇습니다.웹쉘을 이용해서 서버의 디렉토리를 보겠습니다. 먼저 웹쉘을 홈페이지에 업로드 하면 서버의 저장공간에 저장이 됩니다.그렇게 되면 서버에는 본의아니게 웹쉘이 저장.. 더보기 [XSS, CSRF] 기초와 웹페이지 공격 실습 읽기전에!! 주의사항!!현재 실습환경은 직접 제작한 홈페이지 환경에서 취약점을 찾는 방식입니다. 외부 사이트가 아닌 제가 서버를 열어서 하는 실습입니다. 다른 외부 사이트에서 실습하시면 법척 처벌을 받으실 수 있으니 절대 따라하지 마세요만약 처벌을 받게 되셔도 저는 미리 경고를 했기 때문에 저와는 무관함을 알려드립니다.또한 이글을 읽고 실습을 따라하시는 것은 주의사항을 읽으셨다고 간주하여 본 블로거와는 관련이 없음을 말씀드립니다.다시한번 말씀드리지만 일반 홈페이지에 절대 하지 마세요 범죄입니다.XSS란?Cross-site Scripting으로 공격하려는 사이트에 스크립트를 넣어 공격하는 기법입니다. 가정 기초적인 공격방법의 일종입니다. XSS는 어떻게 쓰이는가?사이트에 접속한 사용자는 자동으로 실행하게 .. 더보기 [HTTP MITM] 예제및 정리 HTTP MITM 이란?암호화 되지 않은 HTTP프로토콜을 공격자가 가로채어 HTML소스를 조작하는것입니다. 어떻게 이런일이 가능한가요?사진을 보시면서 쉽게 설명드리겠습니다. 정상적인 HTTP통신을 보시면 세션을 맺기 위해 클라이언트가 SYN을 보내면 => SYN으로 클라이언트에게 답해줍니다. => 그럼 클라이언트도 잘받았다고 Ack를 보내주며 세션이 연결됩니다. 그리고나서 세션연결이 수립되었으니 본격적인 통신이 시작이 되는데클라이언트가 서버야 HTTP좀 보내줘 하면응 그래 알겠어~~(Ack)와 HTTP를 같이 보내줍니다.그러면 클라이언트는 응그래 잘받았어 고마워~~ 답변을 해줘서 간단한 한 통신이 되게 됩니다 하지만 MITM의 경우 공격자가 중간에서 처음부터 도청을 합니다.그러다가 서버가 HTTP를 응.. 더보기 [DNS Spoofing] 예제실습과 hosts정리 주의!! 본 게시글은 교육목적으로 교육받고 정리한 게시글입니다. 악용하셔서 받으시는 법적 처벌은 절대 책임지지 않습니다Spoofing이란?말그대로 '속이다' 라는 뜻으로 IP를 붙이면 자신의 IP를 속이는것, arp spoofing은 arp를 속이는것입니다.즉. DNS Spoofing은 자신의 DNS정보를 속여 다른 시스템을 공격할때 사용합니다. 해보기전 hosts의 원리를 먼저 아셔야 합니다. Hosts란?이런 파일이 있을겁니다 봐도 이해가 안가시겠지만 #은 주석이고 주석은 코드로 이해하지 않으니 그냥 지나치는것 정도는 아시겠죠? 이해를 돕기위해 실험을 해보겠습니다CentOs로 웹서버를 열어놓고 웹서버의 IP를 넣고 해당 도메인을 입력하고 저장해줍니다. 그리고 www.naver.com을 들어가주면 이렇.. 더보기 [TCP, TCP Header] 개념잡기 TCP란?TCP는 인터넷상의 컴퓨터들 사이에서 데이터를 메시지의 형태로 보내기 위해 IP와 함께 사용되는 프로토콜입니다. IP가 데이터를 배달처리하면 TCP는 패킷을 추적 관리하게 됩니다.(패킷: 인터넷 내에서 효율적으로 라우팅하기 위해 메시지를 여러개의 작은 조각들로 나누는데 이것을 패킷이라고 합니다) TCP는 어떻게 추적 관리를 할까? 파일을 여러개의 패킷들로 나누고, 그 패킷에 번호를 붙인다음 그것을 IP계층으로 보냅니다.각 패킷이 같은 IP로 간다고 해도 다른경로를 통해 전송될 수 있으므로 받는사람의 TCP는 각 패킷을 재조립하여 사용자에게 완전한 파일로 보낼 수 있을때까지 기다립니다.----사전적 의미를 풀어썼습니다----- 예를들어 설명해 드리겠습니다. 서울에서 부산까지 짐을 붙이려고 합니다서.. 더보기 [UDP, UDP Header] 개념잡기 UDP란?User Datagram Protocol의 약자로 해석하자면 데이터를 데이터그램 단위로 처리하는 프로토콜입니다.데이터그램단위로 쪼개면 전송을 해야하기 떄문에 전송계층에 위치한다고 생각하시면 연관지어 암기가 되실껍니다 UDP=데이터를 데이터그램단위로 처리하는 프로토콜!데이터그램단위로 처리했으니 전송을 해야겠으니 전송계층이구나! 말로만 듣던 TCP와 UDP의 차이점은?정말 간단하게 정리하자면 TCP: 복잡하기 때문에 신뢰성이 높은 연결형 프로토콜뭔가 연결도 했으니 복잡하겠고, 하는게 많으니 신뢰성도 높아진다고 생각하시면 쉽겠죠? UDP: 간단하기 때문에 신뢰할 수 없는 비연결형 프로토콜 그럼 IP만으로 통신을 하지 굳이 왜 다른 것들이 존재하나요?원래는 두대의 컴퓨터간에 IP주소를 바탕으로 데이터가.. 더보기 [IP Spooofing] 예제를 통한 실험 Spoofing이란?말그대로 '속이다' 라는 뜻으로 IP를 붙이면 자신의 IP를 속이는것, arp spoofing은 arp를 속이는것입니다.즉. IP Spoofing은 자신의 IP정보를 속여 다른 시스템을 공격할때 사용합니다. -Spoofing의 종류-1. IP Spoofing2. ARP Spoofing3. Email Spoofing4. DNS Spoofing이 있습니다 오늘은 IP Spoofing을 해보겠습니다필요한 시스템: Kali linux(Attacker) Window7(victim)사용할 툴: hping3시스템 정보 / ip주소 mac주소 kali 192.168.206.130 00:0c:29:b0:b2:24 gateway 192.168.206.254 00:50:56:e8:fc:82 win7 19.. 더보기 이전 1 ··· 6 7 8 9 10 11 다음
