Oh! JUN

개념 암호화는 보안 통신을 위한 매우 중요한 도구입니다. 이번 강의에서는 민감한 데이터를 전송할 때 왜 항상 사용해야 하는지 알아 보겠습니다. 목표 사용자는 패킷 스니퍼 사용법에 대한 기본적인 이해가 있어야 합니다. 사용자는 암호화되지 않은 요청을 가로채서 읽을 수 있습니다. 해보자 다른 사용자의 로그인 자격 증명이 포함된 요청을 보내려면 "로그인" 버튼을 클릭하세요. 그런 다음 이러한 자격 증명을 해당 필드에 입력하고 제출하여 확인하세요. 패킷 스니퍼를 사용하여 요청을 차단해 보세요. Log in 버튼을 누르면 POST로 Request 하게되는데 이때 'username'하고 'password' 즉 민감한 데이터가 평문으로 노출됩니다. 'username' : CaptainJack 'password' : ..

비밀번호를 무차별 대입하는 데 시간이 얼마나 걸릴 수 있나요? 이 과제에서는 충분히 강력한(최소 4/4) 비밀번호를 입력해야 합니다.이 과제를 마친 후에는 아래 비밀번호 중 일부를 사용해 왜 이것이 좋은 선택이 아닌지 확인하는 것이 좋습니다. #password #johnsmith #2018/10/4 #1992home #abcabc #fffget #poiuz #@dmin 취약하지 않은 패스워드를 입력하면 됩니다. 현재 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)의 ‘개인정보의 기술적·관리적 보호조치 기 준(고시)’ 제4조 접근통제 항목을 살펴보면, 웹사이트의 비밀번호는 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소..

비밀번호 재설정 링크 만들기 비밀번호 재설정 링크를 생성할 때 다음 사항을 확인해야 합니다. #임의의 토큰이 포함된 고유 링크입니다. #한 번만 사용할 수 있습니다. #링크는 제한된 시간 동안만 유효합니다. 임의의 토큰으로 링크를 보내는 것은 공격자가 사용자 차단을 시작하여 웹 사이트에 대한 간단한 DOS 공격을 시작할 수 없음을 의미합니다. 링크를 두 번 이상 사용하면 비밀번호를 다시 변경할 수 없습니다. 공격 창을 제한하려면 시간 초과가 필요하며, 링크가 있으면 공격자에게 많은 가능성이 열립니다. 과제 Tom(tom@webgoat-cloud.org)의 비밀번호를 원하는 대로 재설정하고 해당 비밀번호를 사용하여 Tom으로 로그인해 보세요. 참고: 이 강의에서는 OWASP ZAP를 사용할 수 없으며 브라..

information + Assignment 보안 질문은 처음에는 인증을 수행하는 좋은 방법처럼 보이지만 몇 가지 큰 문제가 있습니다. "완벽한" 보안 질문은 풀기 어려워도 기억하기 쉬워야 합니다. 또한 답변은 수정되어야 하므로 변경될 수 없습니다. 이러한 기준을 충족하는 질문은 소수에 불과하며 누구에게나 적용되는 질문은 거의 없습니다. 보안 질문을 선택해야 하는 경우에는 솔직하게 대답하지 않는 것이 좋습니다. 이 문제에 대해 더 자세히 설명하기 위해 작은 과제가 있습니다. 아래에는 몇 가지 일반적인 보안 질문 목록이 있습니다. 하나를 선택하면 선택한 질문이 실제로 생각만큼 좋지 않은 이유가 표시됩니다. 두 가지 질문을 검토하면 과제가 완료로 표시됩니다. SNS가 보안 질문에 취약점이 될 수 있습니다. ..

Assignment 사용자는 비밀번호 힌트에 올바르게 답할 수 있으면 비밀번호를 검색할 수 있습니다. 이 '비밀번호 찾기' 페이지에는 잠금 메커니즘이 없습니다. 귀하의 사용자 이름은 'webgoat'이고 가장 좋아하는 색상은 'red'입니다. 목표는 다른 사용자의 비밀번호를 검색하는 것입니다. 시도해 볼 수 있는 사용자는 "tom", "admin" 및 "larry"입니다. 'tom', 'admin', 'larry'가 좋아하는 색깔을 찾으면 됩니다. 해당 문제는 잠금 횟수 설정과 대답할 수 있는 답변이 black, red, green ... 제한적이기 때문에 발생하는 취약점입니다. 해당 요청 캡쳐해서 ctrl + i 단축키 누르면 intruder로 넘어갑니다. 사전 대입 공격할 파라미터의 값을 드래그해서 ..

Release v8.1.0 · WebGoat/WebGoat Version 8.1.0 New functionality Added new lessons for cryptography and path-traversal Extra content added to the XXE lesson Explanation of the assignments will be part of WebGoat, in this release ... github.com 해당하는 버전에 들어가서 webwolf.jar 파일 다운로드 합니다. 저는 C:\WebGoat 폴더에 옮겼습니다. .jar 파일이 위치하는 곳으로 이동한 후 java -jar webwolf-8.1.0.jar 파일 실행시켜줍니다. here 링크 클릭 >.

이번 시간에는 패스워드 재설정하는 과정에서 발생하는 취약점에 대해서 공부할것입니다. [Tool] WebWolf 설치하기 Release v8.1.0 · WebGoat/WebGoat Version 8.1.0 New functionality Added new lessons for cryptography and path-traversal Extra content added to the XXE lesson Explanation of the assignments will be part of WebGoat, in this release ... github.com 해당하 securitystudy.tistory.com 해당 문제를 풀기 위해서는 WebWolf를 설치해야합니다. *WebWolf : 이메일 플랫폼 패스워드를..

보호되어 있는 글입니다.