기술과 일상

(허가 되지 않은 점검도구 활용 스캔은 법적 문제 소지가 있으니 주의!) Jok3r (조커) 란? wpscan, hydra, joomlascan 등 50~60개 가량의 Tool을 복합적으로 사용하는 통합 도구 CMS(Wordpress/Drupal/Joomla) 및 WAS(Tomcat, JBoss, Weblogic 등) 등 다수 취약점 점검 도구 자산에 대한 CVE 점검 및 취약점 점검 위해 Jok3r 활용 (허가 되지 않은 점검도구 활용 스캔은 법적 문제 소지가 있으니 주의!) [데모 환경] 개발 언어 : 파이선(Python3) / Console 기반 사용 환경 : 우분투 [설치] 1. Docker 설치 # curl -fsSL https://get.docker.com/ | sudo sh 2. Docker..

[Tech] 정보보안/보안진단, 모의해킹 2020. 2. 25. 17:22

(허가 되지 않은 점검도구 활용 스캔은 법적 문제 소지가 있으니 주의!) Admin 페이지란? 웹 서비스 관리 용도 페이지로 일반 사용자 아닌 관리자만 접속 가능한 페이지 일반적으로 관리자 페이지는 내부망에 존재하거나 IP 기반 접근제어를 하거나 유추하기 힘든 문자를 URI로 사용 서비스 내에서 관리자도 역할에 따라 권한 등급을 나눠서 관리 웹 페이지 경로를 탐색하고 접근 가능한지 확인할 수 있는 도구로 okadminifinder 활용 (허가 되지 않은 점검도구 활용 스캔은 법적 문제 소지가 있으니 주의!) [장점] 윈도우에서 쉽게 설치 및 사용 가능 574개 Admin 페이지 예상 URI 내에서 빠른 탐색 가능 [단점] 오탐 존재 : Response 메시지의 응답코드 기준으로 탐색 결과를 나타내는 것으..

[Tech] 정보보안/보안진단, 모의해킹 2020. 2. 25. 13:55

(허가 되지 않은 점검도구 활용 스캔은 법적 문제 소지가 있으니 주의!) CMS(콘텐츠 관리 시스템)란? HTML 및 CSS 코딩 기술 없이도 웹 사이트 콘텐츠/블로그를 작성, 관리, 수정해주는 프레임워크 종류 : Wordpress, Joomla, Drupal 등 존재 이 공개용 웹 블로그 제작 Tool은 다양한 플러그인을 지원하며, 이에 따라 다수 취약점 존재 (점검 필요시 사용하는 Tool 사용법) 자산이 WordPress, Joomla, Drupal 인지 아닌지(버전, 테마 등), 해당 취약점이 있는지 점검하는 도구로 CMSmap 활용 (허가 되지 않은 점검도구 활용 스캔은 법적 문제 소지가 있으니 주의!) [데모 환경] 개발 언어 : 파이선(Python3) / Console 기반 사용 환경 : K..

[Tech] 정보보안/보안진단, 모의해킹 2020. 2. 24. 16:22

(허가 되지 않은 점검도구 활용 스캔은 법적 문제 소지가 있으니 주의!) CMS(콘텐츠 관리 시스템)란? HTML 및 CSS 코딩 기술 없이도 웹 사이트 콘텐츠/블로그를 작성, 관리, 수정해주는 프레임워크 종류 : Wordpress, Joomla, Drupal 등 존재 이 공개용 웹 블로그 제작 Tool은 다양한 플러그인을 지원하며, 이에 따라 다수 취약점 존재 (점검 필요시 사용하는 Tool 사용법) 자산이 WordPress 인지 아닌지, 해당 취약점이 있는지 점검하는 도구로 wpscan 활용 (허가 되지 않은 점검도구 활용 스캔은 법적 문제 소지가 있으니 주의!) [데모 환경] 개발 언어 : ruby 언어로 제작됨 / Console 기반 사용 환경 : Ubuntu / 칼리, windows10 [데모 ..

[Tech] 정보보안/보안진단, 모의해킹 2020. 2. 24. 15:53