인공지능 개발일지

※ 허가받지 않은 시스템을 대상으로 해킹하는 것은 불법입니다. 먼저 칼리 리눅스에 들어가서 Apache2 서버를 켠다. service apache2 start 이어서 터미널에 setoolkitsetoolkit을 입력하여 들어간다. setoolkit은 해커 회사에서 만든 거라나 그렇다는데 중요한 건 아닌 거 같으니 넘어간다. 그냥 내장 해킹 툴인데 리눅스에서 fdisk명령과 같이 터미널 안에서 프로그램(?)을 사용하는 거다. 들어가면 아래와 같이 뜬다. 여기서 아래 순서로 사이트를 복제해 주는 경로에 접근한다. 1) Social-Engineering Attacks 2) Website Attack Vectors 3) Site Cloner 2) Credential Harvester Attack Method 실..

오늘 소개할 것의 목차는 아래와 같다. 1. 포트스캔 2. 메일 헤더 3.Whois(feat DNS) 4.DNS 관련 실습:피싱사이트 만들기 이외에도 디렉터리 인덱싱 취약 점등 정보를 수집하는 방법은 다양하지만 오늘은 그중 포트스캔과 메일 헤더 Whois를 이용하는 방법에 대해 알아보겠다. 1. 포트스캔 포트스캔은 해당 호스트에서 어떤 포트가 열려있는지 스캔해보는 것이다. 이때 유의해야 할 것은 공인 IP/도메인 스캔은 불법이다. 하지만 오늘 실습할 것과 같이 가정에서는 대부분 NAT기술을 이용한 사설 IP를 사용하므로 실습이 가능하다. 1.1 Ip주소 확인 윈도우에서는 ipconfig를 통해, 리눅스에서는 ifconfig를 통해 pc의 ip를 확인할 수 있다. 위 화면의 ip에서 네트워크 주소는 192..

1. 직렬화(Serialization) 객체를 직렬화하여 전송 가능한(바이트 스트림) 형태로 만드는 것 지원 언어: JAVA, Python, PHP, C# 등등 바이트 스트림 : 저장을 하기 위해 객체를 순차적인 데이터로 변환한 것 ex) 이진 구조 또는 구조화된 텍스트 2. 역직렬화(Deserialization) 수신받은 데이터를 다시 원래의 형식으로 복구시키는 과정을 역직렬화라고 한다. 3. 역직렬화 취약점 (Insecure Deserialization) OWASP 2017년 Top 10에서 8위를 차지하고 있는 취약점 발생빈도와 위험도가 높다 :직렬화되어 전송되는 데이터 변조 및 원격으로 실행되는 역직렬화시 문제 발생 코드를 추가하는 등의 공격으로 기존에 구성되어 있는 데이터 구조를 변경하는 공격이..

이번 실습은 "화이트 해커를 위한 웹 해킹의 기술"책에 수록된 실습 중 하나입니다. 1. 실습 준비 먼저 실습 준비를 위해 Oracle VM VirtualBox에 칼리 리눅스를 설치해 줍니다. 1.1 스냅샷 생성 스냅샷은 찍으면 나중에 칼리에 오류가 났을 때 복구할 수 있습니다. 그래서 스냅샷을 찍어줍니다. 1.2 가상 머신 설치 실습할 서버를 아래 주소에서 다운로드하여줍니다. https://github.com/bjpublic/whitehacker 참고로 아래 시스템은. ova로 끝나고 이는 시스템을 불러오는 것이어서 별도의 초기 설정이 필요 없습니다. 1.3 VirtualBox에 가상 파일 시스템 가져오기 시스템을 다운로드하였으면 VirtualBox에 불러와 설치해 줍니다. 설치가 완료되면 아래와 같이..