"For Information Security" Blog 입니다.
일상과 취미와 관련된 내용들
위주로 작성되었습니다.
모두 환영합니다~ *^^*
티스토리 뷰
※모의해킹 진행은 직접 구현한 환경에서 진행했으며, 교육 이외의 목적으로 사용하실 경우 발생하는 책임은 본인에게 있습니다.
대상 선정
환경 분석
↑ nmap을 이용한 정보 수집
# Apache 정보와 운영체제 정보(Ubuntu) 확인
↑ kali linux의 whatweb을 이용한 정보 수집
# -v 옵셥 : 상세 출력
# Apache 정보, wordpress 버전 등 정보 확인 가능
기능 분석
웹 서비스에 존재하는 기능에 대해 수동 점검 진행
↑ 웹 서비스 기능 수동 확인
# 게시글에대한 좋아요 기능 확인
# 관리자의 게시글 확인 가능
# 게시글 작성, 댓글 작성 기능 미구현
해당 웹 서비스가 워드프레스 기반인 점을 이용하여 wpscan을 이용해 좀 더 상세한 정보 확인 시도
-wpscan은 wordpress 취약점 스캐너로 무료로 이용할 수 있다.
↑ kali linux의 wpsacn이용한 대상 웹 서비스 스캔
↑ 대상 웹 서비스가 운용중인 다양한 플러그인 정보를 확인할 수 있다.
# 해당 플러그인 버전 정보를 통해 취약점을 확인할 수 있다.
↑ 설치된 플러그인에 존재하는 취약점으로 발생할 수 있는 위협
'정보보호 관리,기술 진단 > 모의해킹' 카테고리의 다른 글
| SQL 인젝션 (0) | 2019.05.11 |
|---|---|
| 파일 업로드 취약점 (webshell upload) (1) | 2019.05.08 |
| 크로스 사이트 리퀘스트 변조(CSRF) (0) | 2019.05.08 |
| 02.모의해킹 범위 (0) | 2019.04.29 |
| 01.모의해킹 업무속 자동화도구 (0) | 2019.04.29 |
