보안/ bWAPP 2019.01.23 12:01

웹 해킹 bWAPP - 01. 웹 해킹 실습 환경 구성

 

 

본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다.

 

 

 

 

1. OWASP TOP 10 (2013년 기준)

 

 - 어플리케이션 취약점 10개 목록

 - 3년 마다 신규로 업데이트됨

 

 A1 - 인젝션 (Injection)

 A2 - 취약한 인증과 세션 관리 (Broken Authentication & Session Management)

 A3 - 크로스 사이트 스크립팅 (XSS : Cross-Site Scripting)

 A4 - 안전하지 않은 직접 객체 참조( Insecure Direct Object References)

 A5 - 잘못된 보안 구성 (Security Misconfiguration)

 A6 - 민감한 데이터 노출 (Sensitive Data Exposure)

 A7 - 기능 수준의 접근 통제 누락 (Missing Function Level Access Control)

 A8 - 크로스 사이트 요청 변조 CSRF : Cross-Site Request Forgery)

 A9 - 알려진 취약점이 있는 구성 요소 사용 (Using Known Vulnerable Components)

 A10 - 검증되지 않은 리다이렉트 및 포워드 (Unvalidated Redirects & Forwards)

 

 

 

 

2. 웹 해킹 실습 환경 구성

 

 

 

 

사용 도구 : Kali Linux, bWAPP, Gateway

 

 

kali linux 다운로드 : https://www.offensive-security.com/kali-linux-vm-vmware-virtualbox-hyperv-image-download/

 

bWAPP 다운로드 : http://sourceforge.net/projects/bwapp/files/bee-box/

 

 

 

  192.168.2.100            192.168.20.1000                        192.168.20.205

-----------[eth0]Gateway[eth1]-------------------------------------------[eth0]bWAPP

                                                            |

                                                            |

                                                            |

                                                         [eth1]  192.168.20.50

                                                       Kali Linux

 

 

1. 네트워크 구성

 

 - bWAPP 네트워크 설정 (bWAPP 한국어 언어 및 삼성 키보드 설정 실시)

 

bee@bee-box:~$ sudo vi /etc/network/interfaces

 

auto lo
iface lo inet loopback

 

auto eth0

 

iface eth0 inet static
        address 192.168.20.205
        network 192.168.20.0
        netmask 255.255.255.0
        gateway 192.168.20.100
        broadcast 192.168.20.255

 

 

:wq!

 

bee@bee-box:~$ sudo /etc/init.d/networking restart

 

bee@bee-box:~$ su -
Password: bug

root@bee-box:~# sudo apt-get install sysvconfig


root@bee-box:~# exit

 

 

 - Kali Linux 네트워크 설정

 

root@kali:~# vi /etc/network/interfaces

 

auto lo
iface lo inet loopback

 

auto eth0 eth1

 

iface eth0 inet static
 address 192.168.2.50
 network 192.168.2.0
 netmask 255.255.255.0
 #gateway 192.168.2.254
 broadcast 192.168.2.255

 

iface eth1 inet static
 address 192.168.20.50
 network 192.168.20.0
 netmask 255.255.255.0
 gateway 192.168.20.100
 broadcast 192.168.20.255

 

:wq!

 

root@kali:~# /etc/init.d/networking restart


 

 

 - Gateway 네트워크 설정

 

setup을 실시하여 설정 실시

 

 

 

 

2. Ping 테스트 및 bWAPP 접속 실시

 

 - 각각의 시스템 간에 ping 및 인터넷 테스트 실시

 - kali에서 브라우저를 이용하여 bWAPP 접속 실시

 

 

192.168.20.250 접속 실시 -> 'bWAPP' 클릭 실시

 

로그인 실시 (아이디 : bee / 패스워드 : bug)

 

 

 

bWAPP 메인 페이지 접속 완료

 

 

 

[참고] 변수 & 함수

 

 - 변수 : 값이 정해지지 않아 임의의 값을 가질 수 있는 문자 값을 의미한다.

 - 함수 : 변수 A와 B 관계에서 A의 값이 정해지면 B 값이 정해진다는 관계가 있을때, 이때 B는 A의 함수라고 한다.

 

 

[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)


01. OWASP TOP 10 및 웹 해킹 bWAPP 실습 환경 구성   https://youtu.be/HHX16fufRFg

 

Posted by 김정우 강사(카카오톡 : kim10322)


Q