웹 보안
- DB테스트 사이트 2022.11.17 2
- 맥북 버프슈트 인증서 설치, 적용 2022.11.17
- 맥북에 dirsearch 설치하기 2022.11.15
- [버프슈트] 버프슈트 Target - Scope 설정 및 정규표현식 정리 2022.11.15
- [웹프록시 소개] 버프슈트(burp suites) 커뮤니티/프로 필수 설정 방법 및 순서, 버프슈트 다운로드 방법, 프로/커뮤니티 차이, extender 등 웹프록시란? 웹프록시 종류 2022.10.14
- #1 피들러, 버프 인증서 설치 2022.03.07
- XSS 내장함수 이벤트핸들러 등 2022.02.23
- #포렌식01 윈도우 계정 보안(SAM, SECURITY, SYSTEM 파일 분석) 2021.10.22
- #금융권 보안 관련 래퍼런스 2021.08.25
- #1 모바일 앱 테스트(프록시 연결) 2021.08.22
1. 버프 실행하고, http://burp에서 버프 인증서 다운로드
2. 다운로드한 버프 인증서 설치(더블클릭)
3. 키체인 접근 > 버프인증서 더블 클릭 > [신뢰] 항상 신뢰로 설정
command + 스페이스, 키체인 접근 검색
항상 신뢰 ㄲ
이러면 됨
-끝-
'웹 보안' 카테고리의 다른 글
맥북에 dirsearch 설치하기 (0) | 2022.11.15 |
---|---|
[버프슈트] 버프슈트 Target - Scope 설정 및 정규표현식 정리 (0) | 2022.11.15 |
[웹프록시 소개] 버프슈트(burp suites) 커뮤니티/프로 필수 설정 방법 및 순서, 버프슈트 다운로드 방법, 프로/커뮤니티 차이, extender 등 웹프록시란? 웹프록시 종류 (0) | 2022.10.14 |
후.. 벌써 몇번 설치하고 지우고 까먹고, 설치하고 지우고 까먹고
걍 정리합니다.
https://github.com/maurosoria/dirsearch#installation--usage
위 사이트 들어가서 정보 봅니다.
아래 코드 맥북에서 터미널 띄워서 복붙합니다.
git clone https://github.com/maurosoria/dirsearch.git --depth 1
그럼 폴더 생깁니다.
사용 법은 ///python3 direarch.py -u 경로/// 입니다.
근데 실행하면 안됩니다. 왜냐면 참조할 모듈이 설치 안됬으니까요
고로 requirements.txt 파일 참조해서 다 설치 해줍니다
sudo pip3 install -r requirements.txt
일케하면 다 설치됨니다
다 하면, 아래 명령어로 테스트 합니다.
python3 dirsearch.py -u 127.0.0.1
위 그림 뜨면 설치 제대로 된겁니다.
공홈가서 사용법 보고 씁니다.
Usage: dirsearch.py [-u|--url] target [-e|--extensions] extensions [options]
등등..
끝
'웹 보안' 카테고리의 다른 글
맥북 버프슈트 인증서 설치, 적용 (0) | 2022.11.17 |
---|---|
[버프슈트] 버프슈트 Target - Scope 설정 및 정규표현식 정리 (0) | 2022.11.15 |
[웹프록시 소개] 버프슈트(burp suites) 커뮤니티/프로 필수 설정 방법 및 순서, 버프슈트 다운로드 방법, 프로/커뮤니티 차이, extender 등 웹프록시란? 웹프록시 종류 (0) | 2022.10.14 |
점검 시, 버프슈트에서 타겟만 보이게하려면
Target탭의 Scope 설정에 들어가서, 점검 대상 주소를 넣어주면된다.
근데 유사도메인이 여러개라서, 정규표현식으로 타겟을 잡을 경우 방법은 아래와 같다.
Use advanced scope control 을 클릭하고
프로토콜 : any
HOST / IP range : .*\.naver\.com$
이렇게 설정하면
{서브도메인}.naver.com/{기타 파라미터}
들을 확인할 수 있다.
끝임
'웹 보안' 카테고리의 다른 글
맥북 버프슈트 인증서 설치, 적용 (0) | 2022.11.17 |
---|---|
맥북에 dirsearch 설치하기 (0) | 2022.11.15 |
[웹프록시 소개] 버프슈트(burp suites) 커뮤니티/프로 필수 설정 방법 및 순서, 버프슈트 다운로드 방법, 프로/커뮤니티 차이, extender 등 웹프록시란? 웹프록시 종류 (0) | 2022.10.14 |
제목은 어그로성으로 거창하나
실제 내용은 그냥 웹프록시 간략하게 소개하고, 버프 쓸때 필수 설정값 공유 입니당
[웹프록시 소개]
웹 프록시는 유저와 서버 사이에 위치하여 유저/서버 간 전달되는 값을 잡는 역할임
*유저 => 프록시 => 서버
*유저 <= 프록시 =< 서버
종류는 많지만 한국에서 대중적인 웹프록시는 크게 4가지 있음
찰스(맥북 전용), 피들러(윈도우 전용), 버프슈트(맥/윈도우), 파로스(고전)
버프 슈트가 국내에선 제일 대중적인듯!?
*버프의 단점 : 용량이 큼
*버프의 장점 : 그만큼 기능이 많음, 맥/윈도우 다됨
고로 어쩔 수 없이 써야하는 경우가 있음(=쓸줄알아야된다.)
지금 이 글을 적는 이유도.. 저는 다른 프록시 도구를 애용하지만
제공 받은 환경에 버프슈트밖에 없어서 셋팅하는 김에 겸사겸사 이것저것 추가해서 블로깅을 하고있습니당
버프슈트 다운로드 주소 : https://portswigger.net/burp
버프슈트 다운로드 방법(위 링크 클릭, 원하는 제품 클릭, 다운로드)
1. 폰트 설정
버프슈트는 기본세팅에서 한글이 깨지므로 폰트 수정 필요
폰트 수정 경로 [User options > Display > Change font]
2. 단축키 설정
유용한 단축키
**Ctrl + T / 프록시 ON / OFF
**Ctrl + F/ 패킷 포워딩(보내기)
**Ctrl + Space / 리피터에서 send
*Ctrl + R / 리피터
*Ctrl + I / 인트루더
Ctrl + Shift + R / 리피터로 이동
Ctrl + Shift + I / 인트루더로 이동
Ctrl + Shift + P / 프록시로 이동
Ctrl + Shift + T / 타겟으로 이동
(U=URL, B=base64, H=html)
Ctrl + Shift + U / URL 디코딩
Ctrl + U / URL 인코딩
Ctrl + - / 이전 탭으로 이동
Ctrl + = / 다음 탭으로 이동
==================================
단축키 설정
Add highlight / Ctrl+Alt+H
**아쉬운거 : clear history 단축키 있었으면..
단축키 설정 경로 [ User options > Misc > Edit hotkeys ]
3. 프록시 셋팅
적절히 원하는 방식으로 설정
127.0.0.1은 내 localhost IP이다.
포트는 안쓰는 포트번호로 설정한다.
아래처럼 셋팅은 버프에 셋팅한 것이고, PC환경에서도 PROXY설정 또는 크롬 브라우저에 프록시 설정 해줘야된다.
4. SCOPE 설정
사이트 개수가 적으면 풀경로(ex. https://www.naver.com)를 를 Add 해주고
서브도메인이 많은 경우 등등 정규표현식 써주면 유용
아래 꺼는 일반
정규표현식
5. Extender(확장도구 사용)
Extender탭 요약
- Extensions : 설치된 확장 기능 나열
- BApp Store : 버프 상점, 여기서 유료 확장도구를 구매하거나 무료 확장도구를 설치 가능
- APIs : 확장 기능 관련 API 모음
- Optons : JAVA, Python, Ruby 등 확장관련 셋팅
뭐 위 내용 읽어도 처음보는 사람은 잘 모른다.
간략하게 설명하자면 BApp Store에서 자기가 필요하다고 생각하는 확장도구 몇개 설치해서 쓴다고 보면된다. (보통 무료 도구 쓰고, 잘 안쓰는 사람도 많다, 쓰는사람도 많음)
직접 개발해서 사용하시는 분들도 종종 봄
주의할 점은 BApp Store는 버프슈트 프로(유료)에서만 사용 가능하다.
6. Burp Suite Professional 과 Burp Suite Community Editons 차이
아래 그림을 보면 상세히 나옴
두개 다 써본 경험 상 체감되는 차이점은 아래와 같다.
- 버프슈트 프로 = 유료 / BApp Store 사용 가능(은근 쏠쏠함) / 검색 기능 존재(이건 무료에도 넣어줘야 되지 않냐)
- 버프슈트 커뮤니티 = 무료다(장점)
사실 프로의 기능은 손과 눈으로 대체하면 된다.
근데 회사가면 프로 줄 가능성 높다
이렇게 길게 안쓰고, 몇개 셋팅값만 적으려 했는데 괜히 욕심나서 글을 길게 썼습니다.
끝입니당
'웹 보안' 카테고리의 다른 글
맥북 버프슈트 인증서 설치, 적용 (0) | 2022.11.17 |
---|---|
맥북에 dirsearch 설치하기 (0) | 2022.11.15 |
[버프슈트] 버프슈트 Target - Scope 설정 및 정규표현식 정리 (0) | 2022.11.15 |
피들러, 버프, 찰스 기타 등등 점검할때 환경에 따라 이거저거 쓰곤한다.
근데 쓰다가 다시 환경셋팅하려면 헷갈리는 경우가 많더라.
내가 보기 위해 정리한다.
피들러 인증서 다운로드
> http://ipv4.fiddler:8888/
> http://127.0.0.1:8888/
// 포트는 내가 설정한걸로
툴 > 옵션 > HTTPS > Actions > Export
버프 인증서 다운로드
> http://burp
> http://127.0.0.1:8888/
// 위랑 비슷할듯
'웹 보안 > 기타 보안' 카테고리의 다른 글
#포렌식01 윈도우 계정 보안(SAM, SECURITY, SYSTEM 파일 분석) (0) | 2021.10.22 |
---|---|
#금융권 보안 관련 래퍼런스 (0) | 2021.08.25 |
#1 모바일 앱 테스트(프록시 연결) (0) | 2021.08.22 |
#1 안드로이드 (0) | 2021.03.30 |
XSS Archive (0) | 2021.02.20 |
윈도우 보안 점검 시 SAM, security, system 파일을 기반으로
패스워드의 유효성이라던지, 윈도우 상태라던지를 볼 경우가 있다.
뭐 여러가지 방법이 있지만. 단발성으로는 REGA라는 프로그램을 추천한다.
하기에서 무료로 다운가능하고
http://forensic.korea.ac.kr/tools.html
사용 방법도 간단하다.
어렵게 쓸 수도 있겠지만.. 뭐 라이트한 용도로 쓰면 .. 간단함
(사용방법) REGA.exe를 실행하고
이제 분석결과를 기반으로 점검하면된다.
끝이다.
'웹 보안 > 기타 보안' 카테고리의 다른 글
#1 피들러, 버프 인증서 설치 (0) | 2022.03.07 |
---|---|
#금융권 보안 관련 래퍼런스 (0) | 2021.08.25 |
#1 모바일 앱 테스트(프록시 연결) (0) | 2021.08.22 |
#1 안드로이드 (0) | 2021.03.30 |
XSS Archive (0) | 2021.02.20 |
관련 법률 및 컴플라이언스
#1 전자금융감독규정(전자금융)
#2 전자금융거래법
#3 신용정보의 이용 및 보호에 관한 법률(신용정보법)
#4 개인정보보호법(개보법)
#5 정보통신망법
#6 주요정보통신기반시설 ~~가이드
등등
'웹 보안 > 기타 보안' 카테고리의 다른 글
#1 피들러, 버프 인증서 설치 (0) | 2022.03.07 |
---|---|
#포렌식01 윈도우 계정 보안(SAM, SECURITY, SYSTEM 파일 분석) (0) | 2021.10.22 |
#1 모바일 앱 테스트(프록시 연결) (0) | 2021.08.22 |
#1 안드로이드 (0) | 2021.03.30 |
XSS Archive (0) | 2021.02.20 |
#1 프록시 도구 연결(fiddler)
모바일 폰과 노트북을 같은 네트워크에 물림 > 모바일 프록시 설정
노트북 주소:포트 입력 후, 인증서 다운로드 및 설치
연결 완료~
'웹 보안 > 기타 보안' 카테고리의 다른 글
#1 피들러, 버프 인증서 설치 (0) | 2022.03.07 |
---|---|
#포렌식01 윈도우 계정 보안(SAM, SECURITY, SYSTEM 파일 분석) (0) | 2021.10.22 |
#금융권 보안 관련 래퍼런스 (0) | 2021.08.25 |
#1 안드로이드 (0) | 2021.03.30 |
XSS Archive (0) | 2021.02.20 |