Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
Tags
- 개인정보보호
- AI
- 자료형
- 코딩테스트
- 클라우드
- 회귀분석
- 함수
- 프로그래머스
- 시저암호
- AWS
- 컴퓨터 구조
- 백준
- 웹 모의해킹
- 개인정보보호법
- 마이데이터
- 알고리즘
- 코딩테스트 연습
- 데이터 분석
- docker
- 머신러닝
- 정보보안
- 파이썬
- vagrant
- 데이터3법
- 코테
- 데이터분석
- XSS 취약점
- 파이썬 문법
- 도커
- 웹모의해킹
Archives
- Today
- Total
찬란하게
[웹해킹] 쇼핑몰 실습2_ 인증 처리 취약점 확인_인증 관점 본문
1. 인증 처리 취약점 확인
두 가지 관점이 존재한다.
첫 번째는 인증 페이지 관점이 있다. 인증된, 허가된 페이지를 통해서 취약점을 점검한다.
두 번째는 비인증 페이지 관점이 있다. 허가되지 않은 페이지를 통해서 점검한다.
인증 페이지 관점
+ (개인정보보호법) : 회원가입 취약점 점검
=> 버프스위트를 활용한다.
* 버프스위트 > 한글 폰트 설정 *
인증 처리 미흡 점검 절차
| 2개의 계정 준비 | |
| A 사용자 | B 사용자 |
| Chrome | IEX |
| 관리자 권한 시도 | 일반 사용자 |
| test | victim |
1) 회원가입
꼼꼼하게 미리 우회할 내용 체크하기!
기회는 한번뿐인 소중한 회원가입 절차이다.
(특히 은행권에서는 계좌번호가 한정되어 있기 때문에 소중하게 점검해야 한다.)
- 직접 가입하기
- burp suite 우회 가입하기
2) 일반 사용자(= B 사용자)가 작성한 글 공격
- 타 사용자의 게시물 수정, 삭제 가능한가?
- 1:1 문의 게시판 or 비밀글 보는 게 가능한가?
버프 스위트 > parameter값 수정
3) 타 사용자의 주문정보(개인정보)를 확인할 수 있는가?
* 주의사항 : 실제 모의해킹 시 일반 사용자(= 실 사용자)의 게시글을 수정, 삭제 금지!!!
<문제 실습>
두가지 경우에서 우회가 가능한지를 점검한다.
- 자유게시판 > vicitim이 작성한 자유 게시물 > 비밀번호 설정 : 수정 가능한가?
- 자유게시판 > vicitim 비밀글 : 열람 가능한가?
'정보보안 > 웹 해킹' 카테고리의 다른 글
| [웹해킹] XSS 취약점_Stored XSS 취약점_비박스 (0) | 2021.05.08 |
|---|---|
| [웹해킹][용어] XSS 취약점 (0) | 2021.05.08 |
| [모의해킹] 쇼핑몰 실습1_환경 구성_비박스 (0) | 2021.05.07 |
| [모의해킹/시행착오] VM Ware 문제점_eth0 IPv6 (0) | 2021.05.07 |
| [웹해킹] OWASP_ZAP 활용_2 (0) | 2021.05.07 |
'정보보안/웹 해킹' Related Articles
more
