Information Security

*Burpsuite 를 사용하기 위해서는 기본적으로 JRE 파일을 다운로드 해야한다. Burpsuite 를 사용하기 위한 테스트 환경은 DVWA를 사용할 것이다. 윈도우/리눅스의 환경 중 리눅스를 통한 환경을 다뤄볼 것이다. 리눅스를 통한 환경 구축 Metasploitable은 리눅스 기반의 취약점 진단용 가상머신이다. VM을 설치한 후 Metaploitable 을 다운로드 하여 압축을 풀어준다. *아래 링크 참조 https://sourceforge.net/projects/metasploitable/ VMware 실행 후 File->Open을 통해 압축해제 했던 Metasploitable을 불러온다. Metasploitable 이미지를 불러오면 [그림 4]와 같이 로그인 실행화면이 나타난다. 아이디 : ..

CSRF란? Cross - Site Request Forgery : 교차 사이트 요청 위조 라고 할 수 있다 특정 사용자를 대상으로 하지 않고 불특정 다수를 대상으로 로그인된 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정,삭제,등록,송금 등)를 하게 만드는 공격기법. CSRF는 기본적으로 XSS (Cross Site Script) 공격과 매우 유사하다. XSS 공격의 발전된(변종된) 형태로 보기도 한다. 둘의 차이점은 XSS 공격은 악성 스크립트가 클라이언트에서 실행되는 반면에 CSRF 공격은 사용자가 악성 스크립트를 서버에 요청한다는 차이가 있다, 즉 XSS는 script를 이용한 공격을 할 수 있고 CSRF는 HTML을 이용한 공격이라고 할 수 있다. 일반적으로 CSRF 공격이 성공하려..