웹 툴

2022. 4. 21. 03:42보안/웹&네트워크

반응형

모바일 네트워크 중간고사 범위

 

웹 브라우저

인터넷 세상을 탐험(브라우징)할 때 사용하는 필수적인 도구

웹 브라우저의 종류 : 마이크로소프트의 인터넷 익스플로러, 구글의 크롬, 모질라의 파이어폭 스등

 

인터넷 익스플로러

마이크로소프트에서 개발한 웹 브라우저 프로그램

1995816일에 버전 1.0이 첫 선을 보인 후 지속적으로 발전하여 2017년 현재 버전 11 까지 나옴.

인터넷 익스플로러의 개발자 도구

버전 6 이상부터 개발자 도구기능 내장

인터넷 익스플로러를 실행하고 [F12]를 누르거나 오른쪽 상단의 설정 메뉴에서 [F12 개발자 도구] 클릭

가장 많이 사용하는 기능은 요소 찾기와 특정 값 찾기

 

크롬

200892일에 공개된 구글에서 개발한 웹 브라우저

가장 많은 사용자를 보유한 웹 브라우저

2013년에는 버전 25, 2017년에는 버전 58 출시

크롬의 개발자 도구

브라우저 화면 오른쪽 상단의 설정 아이콘 클릭 후 [도구 더보기]-[개발자 도구] 메뉴 선택

개발자 도구 화면의 왼쪽 상단에 있는

<Select an element in the page to inspect it> 아이콘을 클릭하고 웹 사이트의 특정 영역을 클릭하면 해당 코드가 개발자 도구 화면에 나타남.

 

파이어 폭스

모질라에서 개발한 웹 브라우저

파이어 폭스의 개발자 도구

왼쪽 상단의 <메뉴 열기> 아이콘을 클릭 후 [개발자]-[개발자 도구] 메뉴 선택

개발자 도구 화면 왼쪽 상단의 <페이지에서 요소 고르기> 아이콘을 클릭하고 웹 페이지의 특정 영역을 선택하면 해당 영역에 대한 소스코드를 볼 수 있음.

 

Target 기능

[Target] 탭을 선택하면 Burp Suite로 탐색한 사이트에 대한 정보를 확인할 수 있음. (웹 사이트의 구조를 분석할 때 유용)

 

Spider 기능

해당 사이트에서 수작업으로 확인되지 않는 페이지까지 자동으로 접속하는 기능

짧은 시간에 매우 많은 사이트에 접속하여 정보를 수집하기 때문에 금융권과 같이 모니터링 하는 사이트의 경우는 주의가 필요함.

Spider 기능을 실행하려면 [Target] 탭에서 원하는 호스트를 선택 후 마우스 오른쪽 버튼 을 눌러 나타나는 메뉴에서 [Spider this host] 클릭

사용자의 입력값을 받아서 처리하는 페이지를 조사할 때는 해당 변숫값을 입력하는 창이 뜸.

중간에 기능을 멈추려면 [Spider] 탭의 <Spider is running>을 클릭하여 <Spider is paused>로 변경

 

Intruder 기능

공격자가 수작업으로 접속하여 일일이 확인하지 않아도 해당 웹 페이지에 전달되는 변숫값 을 자동으로 생성하여 전달하도록 규칙을 만들어서 해당 페이지를 계속 탐색하는 기능

[Target] 탭에서 해당 URL을 클릭하여 Intruder 기능으로 보내서 이용

[Target] : 공격 대상을 정하는 화면

[Positions] : 어떤 변숫값을 조작할 것인지 정하는 화면,

[Payloads] : 변숫값의 종류와 범위를 선택할 수 있는 화면

 

 

Repeater 기능

[Target] 탭에서 특정 페이지를 클릭 후 마우스 오른쪽 버튼을 눌러 <Send to Repeater>를 선택하면 해당 요청을 [Repeater]로 전달

[Repeater] 탭의 Request 항목을 보면 [Target] 탭에서 전달한 요청이 있음.

해당 요청을 다시 전달하기 위해 <Go>를 클릭하면 Response 항목에서 결과를 볼 수 있음.

 

 

DB기반

Nikto

2001년 크리스 설로가 웹 서버와 애플리케이션에 있는 취약점 데이터베이스를 만든 취약점 스캐너

2000년대 초반에는 꽤 인기를 끌었지만 수많은 웹 취약점 스캐너가 나오면서 인기가 조금 시들해짐.

N-Stealth

웹 취약점 데이터베이스를 기반으로 하는 웹 취약점 스캐너

지금은 N-Stalker라는 이름으로 업데이트되고 있음.

N-Stalker Free 버전 다운로드 : http://www.nstalker.com/products/editions/free

 

특정 웹 취약점 스캐너

Absinthe

0x90이라는 유명한 해커 그룹에서 활동하던 너미시와 제론이 만든 SQL 인젝션 취약점 툴

소스포지 사이트(http://sourceforge.net/projects/absinthe)에서 다운로드

Sqlmap

오픈 소스 툴로 최근 SQL 인젝션 자동화 공격에 많이 사용되고 있음.

Acunetix

해커들이 사용하는 웹 해킹 방법으로 웹 애플리케이션의 취약점을 찾는 휴리스틱 웹 취약점 스캐너

20056월에 처음 발표된 이후 지금까지 지속적으로 발전하여 현재 가장 많이 사용되는 상용 웹 취약점 스캐너 중 하나

AppScan

워치파이어에서 만든 웹 애플리케이션 취약점 스캐너

2007년에 IBM이 워치파이어를 인수한 후로는 IBM에서 관리

반응형

'보안 > 웹&네트워크' 카테고리의 다른 글

sql injection 정리글  (0) 2023.06.14
ARP 스푸핑  (4) 2023.02.17
모의 해킹 모의침투 차이점  (0) 2022.08.04
xss, csrf공격  (0) 2022.04.21
웹해킹  (0) 2022.04.21