주요 정보

• 교육 과정명 : 클라우드기반 스마트융합보안 과정 16기
• 교육 회차 정보 : '23. 11. 7. 애플리케이션 보안 #04

참고 정보

• 서버에서 클라이언트로 데이터 전송 시 JSON를 사용한다. JSON은 JavaScript Object Notion 약자로, 자바스크립트 객체 문법으로 구조화된 데이터를 표현하기 위한 문자 기반 표준 포맷
• 함부로 취약점을 확인하는 행위는 위법행위로 간주될 수 있다.
• 각종 웹 사이트 스캔을 진행하면서(예스24, 워드 프로세서 등..) 워드 사이트처럼 admin 로그인 경로도 나오는게 신기했다.(CMS 스캐너 사용)
• 사이버교전규칙 [탈린 매뉴얼] : 사이버공격을 무력분쟁으로 규정 및 사이버테로로 인한 인명, 재산피해 발생시 군사력을 사용 가능 명시

무엇을 깨달았나

• 칼리 리눅스 설치방법, 한글적용
• 효율적 탐색을 위한 스캔 도구 종류(Bruf Suite, 등)

애플리케이션 보안 개요

• 웹 애플리케이션 생성에 사용되는 프레임워크가 존재한다.
• 해당 프레임워크들이 기능과 사용성의 증가로 인한 자바스크립트 진화

교전 수칙

-PTF란? 침투 테스트 목적 파이썬 스크립트(The PenTesters Framework 약자)
-kali linux : 각종 보안 툴(스캔, 등) 도구 및 메뉴얼이 있는 데비안 계열 리눅스 OS.

• 메타스플로잇(Metasploit Framework) : CVE 번호가 붙은 취약점 공격을 사용할 수 있도록 제공되는 도구(모의해킹용 도구)
• CVE란? Common Vulnerabilities and Exposures)는 공개적으로 알려진 컴퓨터 보안 결함 목록
• 버프스위트, OWASP ZAP : 해킹, 스캐닝 툴
• 해커 종류 : 블랙햇(악의적으로만 해킹), 화이트햇(악의적인 해킹을 막기위한 해킹), 그레이햇(댓가를 요구하기 위한 해킹, 이 자체도 위법일수 있음)

효율적 탐색을 위한 보안 툴

• 침투 테스트 :penetraition testing, 보안 취약점을 식별하는 것.

메타스플로잇(Metasploit)

Msscan

• 빠른 성능의 스캐너, 대규모 네트워크 유리, 단순한 옵션

WhatWeb

• 웹 애플리케이션 스캔 도구, 1,000개 플로그인 제공
• CMS, Apache, nginx 버전 저보 등 수집

nikto

• 내장 플러그인 제공, 공격적 스캐닝

그외 스캔 기능 툴

WPCscan, JoomScan, droopescan, CMSmap

Burf Suite

OWASP ZAP

Gobuster

지속적 콘텐츠 탐색

• Robots.txt, OWASP ZAP Fuzzer 등을 이용한다

Kali linux 초기설치

-칼리 리눅스는 터미널에서 바로 보안 도구로 스캔 등을 검색할수 있다.

• vmware에서 kail 리눅스 생성
  1. 이미지 디스크 파일 가져와 생성
  2 이미지 ISO 파일로 생성
• 로그인 kali / kali
• Ctrl + Alt + T : 터미널 생성

칼리 리눅스 설치 시, 한글 깨짐 설정

• sudo apt update
• 다운로드 받은 후, reboot 한다.
  - sudo apt install fonts-nanum –y
  - sudo apt install fcitx-lib* -y && sudo apt install fcitx-hangul –y
  • sudo reboot
• Fcitx Confilication에서 [+] 들어갈 때, 아래 [Only ShowCurrent Language]를 체크 해제해야 Hangul 탐색 가능.
• hangul 검색 후 추가
• 재부팅 또는 키보드 재부팅