테크리빗

모의해킹이란모의해킹(Penetration Testing)이란, 사전에 정의된 범위와 조건 하에 시스템, 네트워크, 애플리케이션 등의 보안 취약점을 식별하고, 이를 기반으로 적절한 대응방안을 수립하는 보안 활동입니다. 해외에서는 '침투 테스트'를 의미하는 Pentest라는 용어가 일반적으로 사용됩니다. 모의해킹 대상국내에서는 주로 웹 애플리케이션과 모바일 애플리케이션을 대상으로 한 모의해킹이 일반적입니다. 하지만 그 외에도 다양한 IT 자산이 모의해킹 대상이 될 수 있습니다 네트워크 장비: VPN, IDS/IPS, Firewall, WAF, Router, Switch 등시스템: Windows, Linux, IoT 기기, 데이터베이스(DBMS) 등클라우드 인프라: AWS, Azure, GCP 등에서 I..

CSRF(Cross-Site Request Forgery)란?공격자가 사용자의 인증된 세션을 이용하여 의도하지 않은 요청을 서버로 보내는 공격입니다. 예를 들어, 사용자가 로그인된 상태에서 공격자가 사용자의 세션을 탈취하여,악성 요청이 자동으로 전송되도록 유도하고 원하지 않는 행동(예: 비밀번호 변경, 송금 요청 등)을 수행하게 만듭니다. CSRF 동작원리 정상 접속 및 로그인사용자가 정상적으로 웹사이트(example.com)에 로그인합니다.브라우저는 로그인 상태를 유지하기 위해 세션 쿠키를 저장합니다.피싱(공격자가 악성 링크 또는 이메일 전송)공격자는 사용자가 클릭하도록 악성 링크를 포함한 이메일 또는 웹사이트를 만듭니다.예: "보안 문제 해결을 위해 클릭하세요!"라는 메시지로 유도패스워드 변경 요청 ..

취약한 웹사이트(DVWA)에서 파일 업로드 및 CAPTCHA 우회 취약점을 이용해 관리자 계정을 탈취하는 실습 시나리오 구성하는 실습을 진행해보겠습니다. 개요기간: 2025.01.20 ~ 2025.02.02 (2주)환경: DVWA, PHP, Kali Linux, Burp Suite목표: 취약한 웹사이트(DVWA)에서 파일 업로드 및 CAPTCHA 우회 취약점을 이용해 관리자 계정을 탈취 공격 시나리오공격자는 파일 업로드 취약점을 이용하여 웹셸, CAPTCHA를 우회하는 패스워드 변경 페이로드, 세션을 탈취하는 php파일 업로드관리자에게 악성 이메일을 전송하여 Reflected XSS 공격 수행악성 스크립트를 실행하여 관리자 패스워드 변경 및 로그아웃 유도 공격자는 파일 업로드 취약점을 이용해 웹셸, 세션..