Transcript 웹퍼징 - Tistory

주제 : 웹퍼징을 이용한 웹사이트 취약점 분석 기법
현재 한쿡에 나와있는 웹퍼징 관련된 학사 논문은 없는 것 같음. 물론 외쿡껏은 2건!
주제 : 웹퍼징을 이용한 웹사이트 취약점 분석 기법
현재 한쿡에 나와있는 웹퍼징 관련된 학사 논문은 없는 것 같음. 물론 외쿡껏은 2건!
웹퍼징 툴들!!
프레임웍(파이썬기반)
- Sully, SPIKE
그런데 이것들은 웹기반이라기 보단 웹을 이용한
어플에서 사용(랜덤크기 패킷이용)
-> (EX) 셜리이용 Savant 웹서버 프로그램 퍼징(유투브있음)
웹기반중 SPIKE Proxy라는 놈이 웹사이트 공격용
이놈을 이용
단독 프로그램 전부다 사용가능(웹공격용)
공격 타겟
(일단 기본은 php로 된 사이트 – 제일 쉬움, 다음 asp)
포털 사이트 – yahoo korea, dreamwiz.com…
공개형 게시판 - GRBoard, Gnuboard, XE
각종 블로그 – Tistory, naver 블로그, wordpress, egloos
공격 시나리오
1. 일단 웹 기반 editer나 write할 수 있는 부분을 검색 or xss공격이
가능한 부분을 찾음
2. post로 매개변수 넘겨받는 곳을 찾으면 더욱 쉬움
(ex) insert.php?name=asdasdasd -> 이런부분에 웹퍼징을 이용
injection 가능한 곳을 찾아낼수 있음`
3. 위에 부분들을 찾으면 퍼징으로 퍼징을 시작
4. 뭔가 껀덕지가 안나오면 다른 곳을 또 파봄
5. 1~4번 반복. 껀덕지 나올때 까지… ㅋㅋㅋㅋㅋ
6. 껀덕지가 나오면 공격시작. 공격이 되면 이걸 레포팅 후 논문으로 제작
계획
1. 일단 웹퍼징 이론을 좀더 공부하면서 각종 툴들을 이용하여 대상이 되는
웹사이트 퍼징
2. 직접 퍼징 툴을 파이선으로 만들어서 해봄
3. 껀덕지 찾으면 그걸로 논문 거거
웹퍼징 관련 사이트
https://www.owasp.org/index.php/Fuzzing_with_WebScarab
http://www.dragoslungu.com/2007/05/12/my-favorite-10-web-application-security-fuzzing-tools/
http://www.neurofuzz.com/modules/software/wsfuzzer.php
http://www.fuzzing.org/
http://www.powerfuzzer.com/