1) 작업 대상 파일
/tomcat/conf/server.xml
2) 상세 내용
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
port="8080" .....(생략)
다음 내용 추가
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
server=" "
port="8080...
2017. 10. 30.
2017. 10. 29.
2017. 10. 12.
.NET Beautifier
: Purpose: To make .NET body parameters more human-readable. Very helpful for examining things like VIEWSTATE contents.
Active Scan++ (Pro only)
: Purpose: Adds extra scan features to the passive and active scanning tools in Burp.
HTML5 Auditor (Pro only)
Purpose: Checks HTML5 attributes for flaws.
Identity Crisis (Pro only)
Purpose: Checks the web site to see if it responds differently...
버츄얼박스에 칼리리눅스를 막 설치한 후에는 작업환경이 매우 작다. 이를 위해 게스트 확장을 진행해야 하는데 오류가 발생한다. 이유는 실행을 위한 패키지가 사전에 설치되지 않았기 때문이다. 몇번 헤메다가 구글링을 통해 해결했다.
참고에서 글쓴이가 하는대로 진행하기 전에, 아래 내용을 진행해야 한다. 그리고 재부팅을 수행한다.
apt-cache search linux-headers
apt-get install linux-headers-4.9.0-kali4-amd64 (이 부분은 uname -r 로 확인한다.) ( apt-get install linux-headers-$(uname -r) 이렇게 하면 더 편할 듯)
1) apt-get update
2) apt-get upgrade -y
3)...
취약점 진단을 할 때 파라미터 조작 취약점이 발견되는 경우가 굉장히 많다. 무작위로 인자값을 입력하여 얻어지는 응답값에는 '악의적인 공격자' 입장에서 유용하게 활용 될 만한 정보가 될 수 있다. 경험상 시나리오를 짜보면, 다음과 같은 사례가 있을 수 있다.
"범죄경력 조회 메뉴에서 POST로 전달되는 파라미터 값을 변조하여 응닶값에서 이름과, 주민등록번호, 주소를 파싱하여 텍스트 파일로 저장한다."
"헤더값을 변조하여 서버에 전달하여, 200 OK으로 전달되는 데이터를 취합 한다."
# 파라미터 조작 방법
파라미터 조작 공격이...
2017. 10. 11.
평소 해커원에서 'Hacker activity' 내용을 즐겨 보곤한다. 여기서 종종 나오는 취약점이 CSWSH 이다. 개념이 조금 생소해서 조사를 조금 해보았다.
# WebSocket
웹 소켓은 웹 페이지에서 실시간으로 동작하는 웹 서비스를 만들어 줄 수 있는 표준 기술이다. (예를 들면, 채팅과 같은)
일반적으로 웹 프로토콜인 HTTP는 Request와 Response 기반으로 새로 요청이 발생하면 페이지를 다시 그려야 하는 구조이다. 이와 같은 환경아래서 인증 정보를 유지하기 위해, 쿠키도 사용되게 되었다.
http://www.websocket.org...
피드 구독하기:
글
(
Atom
)
Popular Posts
-
/* PHP Version URL CMD WebShell */ /* 사용법 : hxxp://URL/cmd.php?cmd=명령어 */ <? echo " <FORM ACTIO...
-
프록시 도구를 이용하여 서버에 OPTIONS 메소드를 전달하면 지원하는 메소드를 확인 할 수 있다. 그런데 간혹 버프 OPTIONS 메소드로는 확인되지 않는데 response 헤더값에 allowed method 라고 표시되는 경우가 있다. 때문에 보...