• 참고
  • 화이트해커를 위한 웹해킹의 기술

생각들

• 디렉토리, 디렉토리 인덱싱을 알아내면 뭘 할 수 있는지
  -> 해당 자원으로 접근해서 중요 문서(사용자 정보 등)의 내용을 볼 수 있음
  (중요 문서, 사용자 관련 파일, 백업 파일, 테스트 파일 등)

• 보안 관련 헤더가 무엇이 있는지

• User-Agent 헤더가 뭔지

세팅

1. 실습용 서버

• 제공됨.
• 스냅샷 찍어두기

2. 칼리 리눅스 서버

• 프록시 설정
  • burp suite 프로젝트 생성
  • firefox 브라우저 이용
  • foxyproxy addon으로 프록시 on/off 쉽게 가능
  • https 관련 인증서 설정
• burp suite
  • 웹 모의해킹 도와주는 도구 (프록시가 대표적인 기능이라 함)
  • 기능
    • target 탭
    • 접속한 url, 응답들 볼 수 있음
    • proxy 탭
    • 스파이더 탭?
    • 인트루더?
    • 스캐너
• 스냅샷 찍어두기

해킹 단계

1. 정보 수집
2. 취약점 분석
3. 호스트로 침투
4. 침투하고나서 공격 (관리자 권한 획득하기)
5. 재침투 가능한 수단 만들기 (백도어, 사용자 추가)
6. 해킹 흔적 지우기 (로그, 메모리, 디스크에 있는 데이터 지우기?)

정보 수집

수집할 정보

• 호스트 환경 정보 (os, server, framework?)
  -> 응답 메세지의 server 헤더
• 리소스의 위치, 요청 방법(메소드, 파라미터 등)

수집 방법

• 기본 설치 파일? 확인하기

• 웹 취약점 자동 스캐닝

  • kali linux에 기본으로 설치되어 있는 nikto라는 프로그램있다고 함

    nikto -host {ip or dns}:{port}

• 웹 애플리케이션 매핑

  • 수동 매핑
    직접 애플리케이션의 메뉴 이것저것 눌러보면서 버프스위트를 확인.
    어떤 url과 파라미터들이 전송되는지 보며 애플리케이션의 구조를 파악하는 과정

  • 크롤링
    크롤링: 웹 페이지의 링크를 분석하여 새로운 웹 페이지를 찾아내는 과정이라고 함
    버프 스위트의 스파이더 기능으로 크롤링 가능하다고 함

  • DirBuster?

  • robots.txt
    robots.txt를 최상위 디렉토리에 위치시켜서 웹 로봇?에게 해당 사이트의 정보 수집을 허용/불허할 수 있음
    User-Agent 요청 헤더로 특정 로봇에게 명령을 내릴 수 있다고 함..
    명령을 따를지 말지는 robot의 마음이라고 함..(불법적인 로봇들)
    그래서 robot.txt로 보안 정책 적용하려고 하면 안 된다고 함

정보 수집 대응 방안

• 응답에서 서버 헤더에 제공되는 정보 삭제하여 전송
• 불필요 기본 설치 파일, 백업 파일, 테스트 파일 제거하여 외부 노출되지 않도록 하기
• 스캐너/크롤러 차단
  • 로그보고 자동화 프로그램이 탐지되면 ip나 user-agent 기준으로 차단 가능하다고 함
• 디렉토리 인덱싱 설정 제거
  웹 서버의 설정을 바꾸면 된다고 함