# dir burster : OWASP 오픈 소스 프로젝트 일환으로 웹 서버에 관한 디렉토리, 파일 그리고 무차별 대입공격(Brute Force)를 테스트 하기 위한 도구[숨겨진 디렉토리를 찾아줌 ] 환경 구성을 위해 dvwa-start 실행 실행방법 : root 권한에서 dirbuster 입력하여 실행 Target URL 부분에 공격대상 주소 /url 입력 http://127.0.0.1:42001/ Browse 버튼 클릭하고 경로설정 경로 /usr/share/dirbuster/wordlist 가장 많이 사용하는 medium.txt 파일 select start 버튼으로 Dirbuster 실행 최상위 디렉토리부터 경로 탐색하여 Result 결과값에서 내용 확인 현재 경로의 디렉토리 및 파일 수 확인 가능함..

# bruteforce attack - 인증 시스템을 해킹하거나 데이터를 탈취하기 위해 비밀번호, PIN, 암호화된 데이터의 키 또는 다른 인증 정보를 무차별 대입하는 공격 방법 - 공격자는 대량의 가능한 비밀번호 목록을 작성한 다음 이를 시스템에 대입하여 올바른 비밀번호를 찾을 때까지 계속 시도 cf) 사전대입방법 방법 1. 직접코딩[파이썬] 단점 : 직접 개발해야되므로 시간소모 장점 : 공격속도가 빠름 2. 히드라 단점 : cmd로 하므로 약간 사용어려움이있음 장점 : 오픈소스, FTP, SSH등 인증과 관련된 프로토콜은 거의 가능하며 다양한 프로토콜을 지원함 3. 버프슈트의 인프로더 기능 단점 : 전송속도가 느려서 공격속도가 느림 장점 : 패킷을 잡아서 공격함, 사용법이 간단함 - 자동화된 소프트웨..

# file upload 파일 업로드 취약점은 파일을 업로드 하는 기능에 보안이 잘 적용되어 있지 않을때 발생하는 보안 취약점입니다. 게시판에 글을 업로드하거나 사진 목록에 이미지 파일을 업로드하는 경우인 사례이며 공격자는 이러한 취약점을 이용하여 웹쉘이라는 악성코드를 심어 업로드하여 해당 시스템을 공격할 수 있습니다. 대략적이 공격 프로세스는 악성파일을 업로드해 공격할 사이트의 서버에 저장 -> 해당 악성파일을 다운로드 & 실행 시켜 시스템에 침투하는 방식입니다. # low 이미지 파일만 업로드 가능한 것처럼 보이는데 low레벨에서는 딱히 구분을 안하는 것 같습니다. 테스트를 위해 업로드 할 shell.php 생성 -> Get함수로 cmd변수의 값을 받아 시스템과 관련된 명령어를 쓸 수 있도록 php코..