Always-Try(정보보안 및 일상)

#1. 사설 인증서 오류 1-1. https 사이트 접속 owasp 프록시를 연결 후 네이버와 기타 https 사이트를 접속하면 아래와 같이 연결이 비공개로 설정되어 있다는 화면이 뜬다. 신뢰할 수 없는 사설 인증서를 사용하기 때문인데, 이는 아래와 같이 조치할 수 있다. 일단 OWASP의 Tools -> Dynamic SSL Certificates에 있는 인증서 파일을 PC에 저장한다. 이후 크롬 옵션에서 아래와 같이 검색한다. 끝.

#1. Active Scan 1-1. Active Scan? 원하는 사이트에 자동으로 취약점 점검을 돌릴 수 있도록 하는 기능이다. 단, 이 기능은 허가되지 않은 사이트에 시도 시 불법으로 처벌 받을 수 있으니 꼭 자신의 테스트 환경에서만 시도하길 바란다. 1-2. 실행방법 간단하다. 사이트 트리에 Active Scan을 원하는 디렉토리를 우클릭 후 공격 > Active Scan을 실행하면 된다. 모드에 따라서 실행하는 Analyzer가 달라지지만 필자는 기본인 Standard Mode에서 실행했다. 그렇게 되면 아래와 같이 Active Scan이 실행되고 있는 것을 볼 수 있으며, 프로그레스바 왼쪽의 Show Scan Progress Detailed를 클릭해보면 어떤 것이 진행되고 있는지 확인할 수 있..

#1. Dirbuster 1-1. Dirbuster? 디렉터리 구조((숨겨진 것 포함)를 파악할 수 있는 기능이다. 예전에는 OWASP disbuster 라고 별도의 툴이 있었던 것으로 보이지만, 최근에는 OWASP-ZAP 기능에 포함되어 있다. 1-2. 설치방법 www.zaproxy.org/download/ 에서 본인 환경에 맞는 설치 파일을 다운로드 받는다. OWASP ZAP As with all software we strongly recommend that ZAP is only installed and used on operating systems and JREs that are fully patched and actively maintained. www.zaproxy.org 설치 전 JRE와 J..

본 게시글 Burp Suite Community Edition v2020.12.1 기준으로 작성되었으며, 인프런 '웹 서비스 해킹을 위한 버프스위트 완벽 활용 가이드'를 참고하여 작성했습니다. www.inflearn.com/course/boan_burpsuite/dashboardwww.inflearn.com/course/boan_burpsuite/dashboard #1. 설치 파일 다운로드 1-1. Burp Suite Community Edition : portswigger.net/burp/releases/professional-community-2020-12-1 Professional / Community 2020.12.1 This release provides performance and user i..