1. 쇼단(Shodan)구글이 컨텐츠를 검색하는 웹 서비스라면, 쇼단(Shodan)은 인터넷에 연결된 장치를 검색하는 웹 서비스이다. https://www.shodan.io ShodanSearch engine of Internet-connected devices. Create a free account to get started.www.shodan.io로그인을 진행해야 완전한 Searching을 할 수 있다. 인터넷에 노출되어 있는 정보들을 가공해서 보기 편하게 모아 놓은 것(실제 해킹의 작업은 x) IP와 서버 종류들도 확인 가능(더 취약한 웹 서버의 경우 버전 정보까지도 나올 수 있음 -> 버전 별로 노출된 취약점 확인 가능) IP 혹은 IP 대역대로 검색할 때는 net: 을 붙여서 검색 2. Cen..
웹 해킹은 웹 서비스를 대상으로 발생하는 해킹을 말한다. 주로 웹 사이트 취약점을 이용하여 권한이 없는 시스템에 접근하거나 데이터 유출 또는 파괴와 같은 행위를 말한다. 1. 웹 해킹(Web Hacking)웹 서비스를 대상으로 하는 해킹웹 사이트 취약점을 이용하여 권한이 없는 시스템에 접근하거나 데이터 유출 및 파괴하는 행위 2. 종류웹 엔진을 이용한 해킹(Apache, IIS 취약점 등)웹 서버 및 미들웨어를 이용한 해킹(OS, JEUS, WebLogic, WebShere 취약점 등)주로 웹 애플리케이션을 이용한 해킹(SQL Injection, XSS, 파일 업로드/다운로드 취약점) 3. 웹 취약점의 위험성웹에서 이용되는 구간 전 범위에서 1차 피해 발생 가능웹 서비스 공격에서 2차 공격으로 인한 추가..
ARP 스푸핑은 근거리 네트워크에서 사용되는 대표적인 중간자 공격으로 두 단말 간의 통신을 속여 자신을 통해 통신하도록 만들어 중간에서 네트워크 통신 내용을 스니핑 또는 스푸핑 하도록 하는 기술이다. 1. ARP 스푸핑근거리 네트워크(LAN) 환경에서 중간자 공격에 사용되는 기술로 활용IP에서 MAC 주소로 변환하는 과정에서 발생하는 ARP Reply 패킷을 변조하여 공격하는 방식2. APR 스푸핑을 이용한 MITM 공격 원리두 단말 간의 통신 사이에서 정상 통신으로 속여 데이터가 공격자를 경유하도록 유도하는 기술두 단말 간은 정상적 통신을 하는 것으로 알고 있지만 실제로는 공격자를 통해 패킷을 전달공격자는 두 단말 간의 통신 내용을 스니핑(Sniffing) 또는 스푸핑(Spoofing) 하여 전달 가능..
1. 근거리 네트워크 공격LAN 범위 내에서 수행될 수 있는 공격에 한정하여 OSI 7 Layer 중 2계층에서 이루어지는 공격을 의미 2. 근거리 네트워크 공격의 주요 공격ARP를 이용한 MITM 공격Man In The Middle의 약자로 중간자 공격이라고도 불림통신하는 두 단말 사이에 중간자가 침입하여 양단의 통신을 도청하거나 조작중간자 공격을 막기 위해 TLS/SSL 프로토콜을 이용한 공개키 기반 인증을 사용2계층에서 주로 활용하는 공격으로는 ARP 스푸핑을 연계한 공격이 존재STP(Spanning Tree Protocol) 공격STP는 스위치 네트워크 환경에서 사용되는 프로토콜루핑(정상적인 연결을 수행하지 못하고 통신이 빙빙 도는 현상) 공격을 방지하는 프로토콜STP를 이용하여 스위치의 연결 흐..
OS 설치 시 기본적으로 탑재되어 실행 되는 서비스 중에는 보안에 취약한 서비스들이 있다. 그러한 서비스를 중지하는 것만으로도 어느 정도 방어가 가능하다. 1. 네트워크 장비에 의한 필터링Router/Switch에서 ACL을 이용하여 허용하지 않은 사용자의 네트워크 접근 차단 2. 서버에서 실행중인 불필요한 서비스 중지불필요한 Port 닫기 3. 침입 탐지 시스템(IDS) 및 침입 차단 시스템(IPS) 연동syslog를 점검하더라도 스캔이 끝난 상황이라면 대응이 늦어질 수 있음침입 탐지 시스템을 이용하여 침입자를 감지하고 침입 차단 시스템에서 공격자의 IP를 차단
홈페이지의 경우 보안상의 이유로 ICMP 패킷을 차단하는 경우도 존재한다. 이러한 경우 서버가 구동이 되고 있는지 확인하기 위해서는 활성화 된 서비스가 있는 포트를 대상으로 서버가 존재하고 실행되고 있는지 스캔할 수 있다. 예를 들면 웹 서버에 HTTP 패킷을 보내 확인하는 방법이 있다. 1. SYN 스캔1) wireshark를 통한 스캔 결과 확인Half Open 방식(SYN -> SYN/ACK -> RST)더보기hping3 -S 192.168.0.18 -p 80 -c 2 2) hping -8 옵션으로 각 포트번호를 늘려가며 스캔지정한 20-25번 포트를 하나씩 스캔더보기hping3 -8 20-25 -S 192.168.0.18 22번 포트만 활성화 되어 있기 때문에 22번으로만 RST 응답을 보냄, 나..
Telnet과 같이 원격지의 시스템에 로그인을 시도하였을 때 나타나는 안내문을 배너(Banner)라고 한다. 이러한 배너는 기본적으로 애플리케이션의 버전 등을 나타내기 때문에 이를 통해 기본적인 정보 수집이 가능하다. 80, 25, 3306 포트를 통해 각 서버의 정보 확인 가능(21, 23, 25, 110, 143 포트에서도 가능) 1. 운영체제 버전과 커널 버전 확인 가능1) CentOS 7.6 웹 서버 설정httpd 설치 방화벽 밀어버리기 데몬 재실행 2) 웹 서버 접속으로 배너 그래빙운영체제와 웹 서버의 종류 확인 가능 3) hping3 명령으로 기본 네트워크 정보 수집(ping 명령과 유사)네트워크 패킷 생성 및 분석 도구로, 주로 네트워크 테스트, 방화벽 규칙 검증, 포트 스캔 및 네트워크 공..
1. nmap을 활용한 활성화 된 Host 스캔Nmap Option-sTconnect() 함수를 이용한 Open 스캔(오픈)-PSTCP SYN 패킷 만을 보내 시스템 활성화 여부 검사-sS세션을 성립시키지 않는 SYN 스캔(하프오픈)-PI시스템 활성화 여부를 ICMP로 검사-sFFIN 패킷을 이용한 스캔-PBTCP와 ICMP 둘 다 사용하여 HOST 활성화 여부 검사-sNNULL 패킷을 이용한 스캔-O시스템 운영체제 수정-sXX-MAS 패킷을 이용한 스캔-IIdent 프로토콜(RFC1413)을 사용해 열려있는 프로세스가 어떤 사용자에 의한 것인지 검사-sPping을 이용한 HOST 활성화 여부 확인-nDNS Lookup을 하지 않음-sUUDP 포트 스캔-RDNS Lookup을 함-sRRPC 포트 스캔-P..