웹해킹/DVWA

웹해킹/DVWA

DVWA 브루트 포스 - 방어법

지금까지 DVWA 브루트 포스의 공격을 시도해 보았다... 이러한 브루트 포스 공격을 당하지 않기 위한 방패.. 방어법에는 무었이 있는지 한번 DVWA를 통해 알아보자! DVWA의 security수준을 medium으로 한 번 올려보자. 올린 후 브루트 포스 메뉴로 들어와 오른쪽 하단의 view Source를 눌러서 코드를 한 번 살펴보자 눌르면 소스를 살펴보면 아랫부분에 else{ //lodin failed 라고 주석이 달린 부분을 잘 살펴보자 sleep(2); 라는 함수가 적용되어 있다. 이 sleep()은 입력한 값만큼 기다린 후 그 다음 코드를 실행하는 함수인데 이러한 sleep(2) 가 코드에 삽입되게 되면 브루트 포스 공격방식에 큰 영향을 끼치게 된다 예를 들어 브루트포스 총 공격 문자양이 18..

웹해킹/DVWA

DVWA 브루트 포스 - 딕셔너리 공격

이번 글에서는 딕셔너리 공격에 대하여 실습을 해본다! 딕셔너리 공격이란? -> 공격자가 미리 사람들이 password로 자주 사용하는 문자열들을 리스트로 정리해놔 그 리스트 데이터들만 가지고 브루트포스 공격에 대입하여 공격을 시도하는 방식 보안을 그리 중요시 하지 않고 간단하거나 흔한 비밀번호를 설정해 놓았다면 이러한 공격에 당할 위험이 크다... 그렇다면 바로 실습을 진행해보자 딕셔너리 공격 실습 칼리리눅스로 실습을 진행중이라면 터미널에 텍스트 편집기를 이용해 /usr/share/john/password.lst 파일을 열어보자 (ex: gedit /usr/share/john/password.lst ) 이 파일을 열어보면 이런식으로 자주 사용되는 password들의 리스트가 저장되어 있다. 만약 보안을 ..

웹해킹/DVWA

DVWA 브루트 포스 - 이론과 공격

DVWA 브루트 포스 브루트 포스 공격이란? ->다른말로 무차별 대입 공격이라고도 함, 조합 가능한 문자열을 모조리 하나씩 다 대입해보는 공격방식 자원만 충분하다면 성공확률이 100%인 공격 방식 DVWA 실습 DVWA와 버프스위트를 이용하여 브루트포스 공격을 실습해보자. 실습환경- 칼리리눅스 2019.1 , XAMPP로 DVWA환경 구축 사이트를 살펴보니 로그인화면이 나타나있다. 공격을 하기전에 일단 먼저 우리는 admin이라는 ID를 알고있다는 가정을 하고 문제에 접근하여보자. ID에 admin을 입력하고 비밀번호에는 aaaa를 입력해보았다 당연히 유효하지 않은 로그인이라는 문자가 나타난다. 그렇다면 우리가 브루트포스 공격을 사도할 때 이렇게 일일이 비밀번호를 입력하며 공격을 시도해야 할까? 우리는 ..

HoyiTT
'웹해킹/DVWA' 카테고리의 글 목록