정보보안(구버전)/DVWA 2019. 3. 10. 12:00

DVWA - 06. Path Traversal 공격 패턴 분석 및 스노트 룰 설정

 

 

본 내용은 DVWA를 이용한 OWASP Top10 취약점 진단 및 웹-해킹 내용이 아니라, Snort를 이용한 DVWA 취약점 및 공격 패턴을 진단하는 실습 환경입니다.

 

 

1. Missing Functional Level Access Control

 

 - OWASP Top10 A7 - 기능 수준의 접근 통제 누락

 - 접근 통제 및 검증이 서버 설정, 관리 부분에서 제대로 구성되지 않았을때 중요 자원 접근이 가능한 취약점이다.

 - Ex) 디렉토리 접근, 파일 접근, 파일 다운로드 및 업로드

 

 

 

2. Directory/File Traversal

 

 - 웹 브라우저를 통해서 확인 가능한 상위 디렉토리를 검색하여 시스템 파일을 검색/접근하거나 다운로드하는 취약점이다.

 - 해결하는 방법으로는 변수를 이용하여 기본적으로 접근 가능한 경로를 제한하거나, 상대 경로를 절대 경로로 반환한다.

 - 디렉토리 리스팅 : 웹브라우저를 통해서 서버 관리자가 관리적으로 리스팅하도록 지정한 디렉토리가 접근되는 취약점

 


root@kim-virtual-machine:/home/kim# ls /var/log/../../../
bin    dev   initrd.img  lost+found  nsm   root  srv  usr
boot   etc   lib  media      opt   run  sys  var
cdrom  home  lib64  mnt      proc  sbin  tmp  vmlinuz

machine:/home/kim# ls -l /var/log/../../../etc/passwd
-rw-r--r-- 1 root root 2314 Mar  5 03:54 /var/log/../../../etc/passwd

root@kim-virtual-machine:/home/kim# cat /var/log/../../../etc/passwd | head -2
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin

 

 

3. Missing Functional Level Access Control - Directory/File Traversal

 

 - URL 파라미터에 상위 디렉토리로 이동하는 ../를 실시하여 다른 디렉토리 이동 및 파일 접근이 가능하다.

 

 

 

4. Path Traversal 공격 패턴 분석

 

6-0. Path Traversal.log

6-1. Path Traversal 공격 패턴.txt

 

 

 

5. Snort 룰 설정

 

6-2. Path Traversal 스노트 설정.txt

 

root@kim-virtual-machine:~# cd /etc/nsm/rules
root@kim-virtual-machine:/etc/nsm/rules#
root@kim-virtual-machine:/etc/nsm/rules# vi local.rules

# 6. Path Traversa
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"6. Path Traversal /etc/passwd"; content:"/etc/passwd"; nocase; sid:3000061; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"6. Path Traversal Linux"; content:"|2e2e2f2e2e2f|"; sid:3000062; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"6. Path Traversal Windows"; content:"|2e2e5c2e2e5c|"; sid:3000063; rev:1;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"6. Path Traversal Windows(c\windows)"; flow:established,to_server; content:"User-Agent|3a| c|3a 5c|"; nocase; http_header; sid:3000064; rev:1;)

 

:wq! 

 

 

인코딩 내용

 문자열

 ASCII 16진수

 .

 2e

 /

 2f

 :

 3a

 \

 5c

 

 

root@kim-virtual-machine:/etc/nsm/rules# rule-update

 

 

'rule-update' 에러가 발생하면, 'local.rules' 파일을 수정한 이후 실시함

root@kim-virtual-machine:/etc/nsm/rules# nsm --sensor --restart --only-snort-alert 

 

 

 

6. DVWA 'SQL Injection' 취약점 진단 실시

 

 

dvwa 우클릭 -> 공격 -> 'Active Scan' 클릭

 

 

 

Policy 선택 -> 'Start Scan' 버튼 클릭

 

 

 

 

7. Snort 탐지 결과 확인 및 분석

 

 

Snort -> 'Show Packet Data' & 'Show Rule'를 체크하여 스노트 탐지 분석 실시

 

 

 

 

8. Snort 룰 삭제 또는 주석 처리 실시

 

 

[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)

 

DVWA - 06. Path Traversal 공격 패턴 분석 및 스노트 룰 설정   https://youtu.be/WpbSvOQqhRc

저작자표시 비영리 변경금지

'정보보안(구버전) > DVWA' 카테고리의 다른 글

DVWA - 08. Remote Execution Shellshock 공격 패턴 분석 및 스노트 룰 설정  (0) 2019.03.10
DVWA - 07. Directory Browsing 공격 패턴 분석 및 스노트 룰 설정  (0) 2019.03.10
DVWA - 05. XSS Injection 공격 패턴 분석 및 스노트 룰 설정  (0) 2019.03.10
DVWA - 04. SQL Injection 공격 패턴 분석 및 스노트 룰 설정  (0) 2019.03.10
DVWA - 03. OS Command Injection 공격 패턴 분석 및 스노트 룰 설정  (0) 2019.03.10
Posted by 김정우 강사(카카오톡 : kim10322)
,

티스토리툴바

Q