728x90
21년 1월 17일
ex)4장~7장
내용 간단 요약
- 4장: 버프 스위트의 기능
Target
- site map: 접속한 호스트와 url 구조 파악 가능
- scope: 보고싶은 사이트(영역)만 표시
Proxy
- intercept : 주고받는 메세지 변경, 확인 가능
- http history: site map보다 더 많은 정보 보여줌
- options: 프록시 관련 옵션 설정
Spider: 웹 사이트 구조 파악(크롤링) - 기능 지원X
Intruder: 위치를 정하여 데이터 자동으로 반복해서 전송
Repeater: 메세지 수동 반복 조작(하나하나 대입)
Scanner: 유료 버전만 지원, 보안 취약점 자동으로 찾는 기능
Sequencer: 세션 값 추측하는데 사용
Decoder: 인코딩, 디코딩 값 확인
Comparer: 두 개의 메세지 비교
Extender: 확장 기능 사용
- 5장: 정보수집
g. robots.txt - 사이트 정보 수집, 중요 경로 확인가능
- 6장: 취약한 인증 공격
- 7장: sql 인젝션 공격
잘 이해되지 않는 것들
- spider 기능을 찾지 못했다.
- intruder에서 어떤 식으로 랜덤한 값을 입력하는지 실습하고싶다.
- sqlmap을 통한 실습에서 결과가 올바르게 나오지 않고 에러가 발생했다.
책 외부에서 알게 된 내용
- burp suite로 https 사용 사이트 접속시 에러를 방지하기 위하여 ca(인증서)를 설치할때 책의 방법으로는 되지 않았다(사이트 막힘) 그래서 구글링을 통해 문제를 해결하였다.
- 세션 값을 설정하는 방법 https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=diceworld&logNo=220263457594
회고
잘한 것은 무엇인가?
회의를 통해 책에서 되지 않던 sqlmap 부분을 잘 실행시켰다
잘못한 것은 무엇인가?
아직도 안 풀린 궁금증은 무엇인가? 왜 풀리지 않았는가?
향후 어떻게 다르게 할 것 인가?
- 계절학기 끝난 후 스터디(다다음)부터는 워게임도 함께 풀어볼 생각이다.
728x90
'보안공부 > 웹해킹입문-lv.0' 카테고리의 다른 글
| 0124 CSRF, 파일 인클루젼,파일 업로드 개념 분석 (0) | 2022.01.24 |
|---|---|
| 0122 커맨드 인젝션,XSS 개념 분석 (0) | 2022.01.22 |
| 0112 ~71p / 1장 ~ 3장 (0) | 2022.01.17 |
| 0110 ~23p / Open Redirect Vulnerabilities and HTTP Parameter Pollution (0) | 2022.01.17 |
| 사이트 취약점(계속 업데이트) (0) | 2021.11.08 |
