'OWASP'에 해당되는 글 2건

WebScrab은 Paros 와 같은 형태의 프로그램으로 OWASP 프로젝트의 일환으로 같은 사이트에서 제공된다.


HTTP, HTTPS protocol 에 대한 데이터를 분석하기 위한 용도로 사용되며, 프록시 기능을 가지고 있다. 간단히 보면 WebScrab를 사용하여 로컬 


프록시로 이용하면, 인터넷 브라우저에서 필드에 값을 입력하고 버튼을 눌러 서버로 전송하는 http protocol 데이터를 WebScrab에서 확인하고


수정할 수 있다. 


준비는 따로 필요 없고, OWASP 사이트에 가서 WebScrab 프로젝트 페이지에 가서 파일을 다운 받으면 된다.


다운 받은 파일을 압축을 풀면 jar 파일이 있는데, 이 jar 파일을 실행하면 다음과 같은 화면의 프로그램이 나타날 것 이다.



사용 방법을 확인해보면, 우선 인터넷 익스플로러에서 프록시 서버 설정을 해준다.


인터넷 옵션 > 연결 > LAN 설정 > 프록시 서버 에서 체크를 해주고 주소에 localhost, 포트에 8008이라고 입력해 준다.



다음은 WebScrab의 Intercept 탭으로 이동하여 Intercept requests 체크 박스에 체크를 해주면 된다.


다음과 같이 하고 인터넷 익스플로러에서 네이버로 이동하여 보자. 네이버를 주소 창에 입력하고 이동하게 되면 WebScrab에서 다음과 같은 팝업 창


이 뜨게 될 것이다.



그리고 인터넷 익스플로러에는 변화가 일어나지 않고 있을 것이다. 웹 브라우저에서 네이버로 이동하려는 http 패킷이 WebScrab에 의해 캡쳐된


것으로 Accept changes를 하면 이 패킷은 정상적으로 서버를 향해 계속 이동하고, Abrot request를 하면 중간에 패킷이 드랍 될 것이다.(추측ㅋ)


물론 여기서 전송되는 데이터를 수정하여 보낼 수도 있다.


자세한 내용은 실습을 진행하면서 더 확인해 보도록 하겠다. ----> 실은 내가 아직 다 공부를 안해서,,, 여기까지밖에 모름. ㅋ

저작자 표시
신고

'[12] Security' 카테고리의 다른 글

특정 포트를 사용하는 프로세스 알아내기  (0) 2012.08.16
2. WebScrab 준비  (0) 2010.01.08
1. WebGoat 실행 준비  (0) 2010.01.08
블로그 이미지

Moonistar moonistar


WebGoat는 OWASP - Open Web Application Security Project (http://www.owasp.org/)라는 커뮤니티에서 제공하는 보안 관련 툴이다.


보안 관련 툴이라기 보다는 가상의 환경에서 해킹 기법에 대해 실제로 시도해보고 그 원리를 알아가게 해주는 툴이라고 보면 된다.


OWASP는 매년 웹 어플리케이션에 관련된 그 해의 이슈들에 대하여 OWASP Top 10 이라는 이름으로 배포하고 있다. 


보안 관련하시는 많은 분들이 한글 버전으로 번역하여 제공하고, KISA 쪽에서도 배포하는 것으로 알고 있다.


보안 분야에 종사하지 않지만, 개인적으로 관심이 가는 부분이라 WebGoat를 가지고 직접 풀어보며 Posting을 할 생각이다.


우선 가장 먼저 Hello World를 찍을려면 개발 환경이 준비되야 되듯이, 해킹을 하기전에, WebGoat 부터 사용 준비를 하자.


0. 우선 Tomcat 과 Java JDK를 설치해야 한다. 


1. OWASP 사이트에 가서 WebGoat Project 에서 WebGoat를 다운 받도록 한다.



사이트 메인에 보면 WebGoat라는 링크를 찾을 수 있다. 해당 프로젝트 페이지로 이동하여 WebGoat를 다운 받는다.


다운은 밑으로 드래그하다 보면 Downloads 섹션을 볼 수 있는데 거기에 써진 대로 google code download로 이동하여 받으면 된다.


2. 다운받은 WebGoat를 압축해제하여 적당한 위치에 놓도록 한다. (현재 내가 받은 건 WebGoat-OWASP_Standard-5.3_RC1.7z 이다.)


3. 폴더를 풀어 세부 내용을 보면, bat 파일 세 개가 존재할 것이다. 이 파일을 그냥 실행하면 공격 방식을 실습해 볼 준비는 끝나게 된다.


※ WebGoat_8080.bat, WebGoat.bat, WebGoat for SQL server.bat 의 용도는 다음에 확인한다.(실은 아직 뭐가 다른지 안 찾아봄. ㅋ)


기본 실행 할때 WebGoat_8080.bat 를 실행하면 된다.


4. 실행하고 나면 정상적으로 동작하는지 사이트로 들어가본다. 주소는 http://localhost:8080/WebGoat/Attack 이라고 입력하면 된다.


아이디와 비번을 입력하라는 창이 뜨면 guest, guest 를 입력하면 된다.


최종적으로 로그인까지 마치게 되면 다음과 같은 화면을 볼 수 있게 된다.


저작자 표시
신고

'[12] Security' 카테고리의 다른 글

특정 포트를 사용하는 프로세스 알아내기  (0) 2012.08.16
2. WebScrab 준비  (0) 2010.01.08
1. WebGoat 실행 준비  (0) 2010.01.08
블로그 이미지

Moonistar moonistar