| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
- lord of sql injection
- otter
- NTFS
- kibana
- XSS
- elasticsearch
- frida
- CTF-d
- beebox
- ESXi
- MFT
- Suninatas
- foremost
- 2018
- igoat
- vulnhub
- ctf
- logstash
- 파이썬
- diva
- 인시큐어뱅크
- Docker
- InsecureBank
- base64
- Reflected XSS
- Volatility
- 안드로이드
- SQL Injection
- Openstack
- Strings
- Today
- Total
목록인증 (2)
Information Security
Broken Auth – Weak Passwords
Broken Auth – Weak Passwords - 무차별 대입 공격과 비슷해 보이지만 비밀번호를 설정하는 사람들이 선호하는 문자열을 대입하는 공격이다. Level (Low) 아이디 bee 비밀번호 bug로 입력했는데 로그인이 실패했다. 버프 스위트에를 설정 후 사전 파일을 등록했다. start attack을 누르면 사전 파일에 등록되어 있는 단어 별로 공격을 시작한다. Login test Password test로 로그인 성공했다. 대응방안 취약한 비밀번호를 통하여 일어나는 보안 문제는 회원 가입할 때 비밀번호 유효성 검사를 통하여 방지할 수 있다.사용자 비밀번호에 특수 문자, 숫자, 영문이 포함되었는지 정규 표현식을 사용하여 검토한다.
인증 결함
인증 결함 - 인증에 필요한 사용자의 계정 정보를 노출하는 취약점으로, 보통 웹 페이지의 HTML 코드에 계정 정보를 노출하거나 인증을 GET 메서드로 요청하여 URL에 계정 정보가 노출한다. - 웹 사이트 가입할 때 추측할 수 있거나 무차별 대입 공격이 가능한 비밀번호 입력을 허용하는 경우도 포함한다. Level (Low) 아이디 bee 비밀번호 bug를 입력했는데 Invalid credentials! 문구가 나타났다. 소스 코드를 확인한 결과 아이디 tonystark 비밀번호 I am Iron Man을 확인할 수 있다. 그림 1-2에 아이디 tonystark 비밀번호 I am Iron Man 입력 시 로그인 성공했다. Level (Medium) Name 입력란에 brucebanner가 입력되어 있다...