ahhyun98 님의 블로그

웹 보안 취약점 중 가장 기본이면서도 위험한 공격 유형인 HTML Injection과 SQL Injection에 대해, bWAPP 환경에서 실습을 진행하였다.특히 POST 방식에서는 Burp Suite를 활용하여 클라이언트와 서버 간의 데이터를 가로채고 분석하였으며, 일부 기능이 정상적으로 작동하지 않는 경우에는 PHP 코드를 직접 수정하여 취약점을 구현하고 공격을 재현하였다. 실습 환경항목내용가상 머신VMware Workstation실습 도구BeeBox(bWAPP 내장), Burp Suite접속 URLhttp://[IP 주소]/bWAPP계정 정보ID : bee, PW: bug브라우저Firefox 또는 Chrome 1. HTML Injection (Get)개념 설명HTML Injection은 사용자..

이번 실습에서는 무차별 대입 공격 (Brute Force Attack)을 bWAPP 환경에서 직접 수행해 보았다. 공격 방식은 Burp Suite를 활용한 로그인 공격 자동화였다. 무차별 대입 공격(Brute Force Attack)이란?무차별 대입 공격이란, 가능한 모든 비밀번호 조합을 무작위로 대입하면서 로그인이나 인증을 시도하는 공격 방식이다. 자동화 도구를 통해 빠르게 많은 시도를 반복하며, 결국 맞는 비밀번호를 찾아내는 것을 목표로 한다. 특징: 사전(Dictionary) 공격과의 차이점 : 사전 공격은 미리 준비된 단어 목록을 사용하는 반면, 브루트포스 공격은 가능한 모든 조합을 시도한다. 성공률은 높지만, 시간과 자원이 많이 소모된다. 보안 설정이 약하거나 비밀번호가 단순할수록 매우 효과..

이번 포스트에서는 bWAPP 환경을 기반으로 SQL Injection 실습을 하고 , 보안 자동화 도구인 sqlmap을 이용하여 SQL Injection 공격을 자동화하는 과정을 정리하였다. 실습 환경 : VMware + BeeBox (bWAPP), Kali-Linux사용 도구 : Burp Suite, sqlmap공격 방식 : SQL Injection (GET/POST), 자동화된 DB 추출1. SQL Injection POST 방식 실습 POST 방식의 SQL Injection은 URL에 직접 값을 넣는 GET 방식과 달리, 데이터가 HTTP Body로 전송되기 때문에 일반 브라우저 주소창에서는 조작이 어렵다. 따라서 Burp Suite의 Proxy(프락시) 기능을 활용해 요청 내용을 가로채고 수정함..

이번 포스팅에서는 bWAPP 환경을 기반으로 SQL Injection 기초를 실습한 내용을 정리한다. SQL이란 무엇인지, SQL Injection이 어떤 방식으로 이뤄지는지, 그리고 다양한 공격 기법들을 다루어보았다. 실습 환경 : VMware + BeeBox (bWAPP 내장)취약점 유형 : SQL Injection 1. SQL이란? SQL(Structured Query Language)은 데이터베이스(DB)를 제어하고 데이터를 관리하기 위해 사용하는 언어이다. 데이터를 검색하거나 삽입, 수정, 삭제할 때 사용되며, 웹 애플리케이션에서 가장 많이 사용되는 언어 중 하나이다. 2. SQL Injection이란? SQL Injection은 웹 애플리케이션이 사용자 입력값을 적절히 검증하지 않고 S..