어 나 정현욱.

DVWA ( Damn Vulnerable Web Application ) 취약점 진단 및 모의 해킹을 공부/실습할 수 있도록 만들어진 웹 애플리케이션 Command Injection 개발자가 의도치 않은 명령어를 실행하는 해킹 기법입니다. 이해하기 쉽도록 예시를 들어 설명하겠습니다. 서버에 저장된 특정 파일을 읽는 웹 서비스입니다. 위 그림에서는 list.txt 파일을 읽으려는 정상적인 요청을 하고 있습니다. 위와 같은 요청을 받게 되면 서버에서는 cat list.txt 명령 실행 후에, 나온 결과 값을 사용자에게 반환해 줍니다. 위 그림은 Command Injection을 시도하는 모습입니다. 정상적인 입력값이 아닌 악의적인 구문을 입력하고 있습니다. 실행 결과를 보시면, cat 1 명령어와 echo ..

DoS ( Denial of Service ) 서비스 거부 공격 DoS를 직역하면 위와 같습니다. 공격 대상의 시스템 리소스를 부족하게 하여 서비스 불가 상태로 만드는 것이 DoS 공격입니다. DoS 공격으로는 다음과 같은 공격 기법이 있습니다. Ping Of Death - ICMP 패킷을 정상적인 크기보다 매우 크게 생성하여 전송하는 공격 기법입니다. - 위와 같은 경우에 MTU( 패킷 최대 전송 크기 )에 의하여 패킷의 단편화( Fragment )가 발생합니다. - 공격 대상은 단편화된 패킷을 다시 재조립하는 과정에서 많은 부하가 발생하여, 정상적인 서비스가 불가능합니다. Land Attack - 출발지 IP 주소와 목적지 IP 주소를 같게 만들어 전송하는 공격 기법입니다. - 자기 자신을 호출하기 ..