보안 (78) 썸네일형 리스트형 다양한 버전의 언어들로 구성된 툴을 사용할땐 가상환경을 만들어 사용하자 - virtualenv 다양한 오픈소스 툴들을 이용하다보면 다양한 버전으로 이뤄진 언어들로 구성된 툴들이 존재를 한다 예를들어 리눅스에는 파이썬 2 버전으로 설치가 되어 있는데 사용 하려는 툴이 파이썬 3.11 버전으로 이루어진 툴이다. 그렇다고 해서 이번 프로젝트에만 사용 될 툴을 위해서 칼리 리눅스에 파이썬 3.11 버전으로 설치 하기에는 매우 번거롭고 귀찮아진다. 그래서 격리 해서 사용 할수 있도록 한것이 virtualenv 툴이다. 일단 기본적으로 update를 해준다 # apt install virtualenv 그리고 virtualenv를 설치를 해준다 # virtualenv projectA_py3.11 --python=python3.11 vitrualenv 프로젝트이름 --사용할언어=사용할버전 ls로 확인 해보면 프.. 웹사이트 crawl러 httrack 환경 세팅 칼리 리눅스 웹 서버 (선택) httrack은 웹사이트를 복사 즉 크롤링 하는 툴로 사이트를 로컬 내에서 분석을 할때 사용하는 툴이다. 칼리리눅스는 최신 버전이라면 httrack이 기본적으로 설치 되어 있으나 만약에 없다면 sudo apt install httrack 으로 설치를 하면 된다. httrack을 실행을 하면 프로젝트 이름을 쓰라고 나온다. 복제한 사이트 저장을 하는 위치를 뜻한다. 그냥 엔터를 누르면 /root/websites 위치에 저장이 되는데 복제된 웹 사이트를 브라우저를 보기위해서는 /root로 가면 권한 수정을 대대적으로 해야하기 떄문에 처음부터 /home/본인계정이름 디렉토리에 저장을 하는것이 좋다. 복사할 url을 쓰는 곳인데 본인에 경우 웹서버를 따로 돌리고 있기 떄.. 서브 도메인 검색 방법 서브도메인 또는 하위도메인은 메인 도메인에 보조 도메인으로 자식같은 존재이다. 예를 들면 www.naver.com 이라는 네이버 사이트가 있다 해당 사이트가 메인 도메인이고 서브도메인은 cafe.naver.com comic.naver.com blog.naver.com 등이 될수 있다. 각 회사 혹은 도메인의 성격에 따라 다르겠지만 서브도메인이 항상 열려있지 않는 경우도 있다. 예를 들어 한 대학교 사이트가 asdf.ac.kr 이다. 학기 초가 되기전에 수강신청을 위해 class.asdf.ac.kr 라는 사이트가 수강신청 기간에만 열린다. 그렇다보니 해당 서브도메인은 보안점검 우선순위에 밀려날수 있고 보안에 취약할수도 있다. 서브도메인의 취약점을 통해 메인 도메인에 접속을 할수 있기때문에 서브 도메인까지 .. 익명의 ftp 연결 설정 칼리리눅스를 이용해 레드팀 작업(또는 모의해킹 작업 )간에 악성코드를 배포하거나 원하는 파일을 가져올때 ftp를 이용을 하면 쉽게 파일을 옮길수 있다. 칼리리눅스에 ftp를 설치를 하고 익명 연결 허용을 할것이다 . 먼저 ftp 를 설치 한다 설치가 완료 되면 /etc 디렉토리에 설치된것을 확인 할수 있다 설치가 완료 되었으니 실행을 한다 제대로 실행됬는지 확인하는 방법으로는 방법1. netstat 으로 알아보는 방법과 방법2. ftp로 연결하려는 os에서 nmap으로 포트가 열려 있는지 확인하는 방법이 있다. 이상태에서는 ftp 연결을 시도해봤자 연결 허용을 안했기 때문에 안된다 그래서 vsftpd.conf 파일의 수정이 필요하다 anonymous_enable을 yes로 바꿔준다. 나는 항상 이런 설정.. 모의해킹 보고서 작성 팁 링크 모음 모의해킹 보고서는 본인만 보는것이 아닌 의뢰를 요청한 클라이언트에게 드리는 목적으로 만들어지는 것으로 가능한 깔끔하고 워드 파일 내에 기능들을 최대한 활용을 해서 작성을 하면 더 깔끔하고 클라이언트가 흡족할수 있다 당연한 기능일수 있지만 보통 하기 귀찮거나 할줄 몰라서 일일히 수정을 하는 사람도 있다 1. 목차 https://support.microsoft.com/ko-kr/office/%EB%AA%A9%EC%B0%A8-%EC%82%BD%EC%9E%85-882e8564-0edb-435e-84b5-1d8552ccf0c0?redirectSourcePath=%252fko-kr%252farticle%252f%2525EB%2525AA%2525A9%2525EC%2525B0%2525A8-%2525EB%2525A7%2.. bruteforce란 무엇이고 파이썬으로 구현 해보자! bruteforce 란 무엇일까 브루트포스(bruteforce)는 파일을 보호하고 기밀성을 유지하기 위해 암호를 통해 제 3자로 부터 보호를 한다 이 암호를 뚫는 방법은 어떤 암호방식인지, 어떤식으로 파일을 주고받는지 등 많은 상황들을 고려하면서 많은 방법들이 있을 것이다. 그중 가장 간단하고 무식한 방법중인 하나가 브루트포스 기법이다. 일일히 하나씩하나씩 다 대입해보는 것이다. 학창시절 친구들 사물함에 자물쇠 비밀번호를 알아내보겠다고 000부터 일일히 대입해서 비밀번호를 알아낸 경험이 있다 세자리수 자물쇠는 쉬는 시간내에 집중만 하면 알아낼수 있지만 네자리 이상부터는 점심시간이나 수업시간까지 시간을 할애를 해야 알아낼수 있다. 해킹에서도 똑같다. 사람이 직접 대입을 해보면서 하는 비밀번호를 알아내는 방.. 모의해킹 시나리오 구성 영상 모의해킹에 필요한 기술(취약점) 공부 및 정리 -> 어떤 취약점으로 어떤 권한을 획득할것인지 -> 얻은 권한으로 무엇을 목표로 할수 있는지 현재 모의해킹을 하고 있는 서비스가 어떤 서비스인지( 게임,금융,마켓 등등 )를 고려하면서 시나리오 구성 [번역/분석]Vimeo에 SSRF 코드 실행으로 4900달러 버그 바운티 받은 썰 해당 본문을 번역한 글이라고 알림 Vimeo SSRF with code execution potential. | by Harsh Jaiswal | InfoSec Write-ups (infosecwriteups.com) 해당 번역은 오역이 있을수 있음을 알립니다. Vimeo SSRF with code execution potential. Recently i discovered a semi responded SSRF on Vimeo with code execution possibility. This blog post explains how i found & exploited it… infosecwriteups.com 최근에 나는 Vimeo에 SSRF를 통한 코드 실행이 가능하다는것을 찾았어 이 블로그 내용은.. 이전 1 ··· 3 4 5 6 7 8 9 10 다음
