분류 전체보기2979 John the Ripper를 통한 취약한 패스워드 점검 1. 존 더 리퍼(John the Ripper) John the Ripper는 Solar Designer가 개발한 Unix계열 password crack tool이다. 무료 도구이며, UNIX계열 크래킹도구이지만 DOS, Win9x, NT, 2000 등의 플랫폼도 지원한다. 속도를 높이기 위해 Intel MMX기술이나 AMD K6 프로세서의 특수 기능들을 이용한 최적화된 코드를 집어넣기도 하였다. http://www.openwall.com/john/ 에서 개발버전, 안정버전, linux용, windows용 등을 다운 받을 수 있다. (지금 게시물에서는 리눅스용을 실제 설치해보거나 해독해본 경험이 없어서 아래 설명하는 부분은 windows용으로 하겠다_1.7.1버전을 이용하였다) 2. 패스워드 파일 존더리.. 2009. 11. 2. 웹 어플리케이션 보안 취약점 테스트 WebScarab Developed by the Open Web Application Security Project (OWASP), WebScarab is first and foremost a proxy used to analyze browser requests and server replies. In addition to serving as a tool for packet analysis, you can use it to "fuzz" sites, looking for some of the same exploits mentioned above. To use WebScarab, you first configure proxy settings in your Web browser. For Mozilla Fire.. 2009. 10. 30. PhpExpress - PHP loader and accelerator Overview of NuSphere PhpExpressPhpExpress is NuSphere Free PHP loader and accelerator that provides support for encoded files and also speeds up the execution of regular PHP files. Please note that if you are using PHP files encoded with NuSphere NuCoder PhpExpress is required to be installed on the server. This is how PhpExpress works: When PHP interpreter executes any PHP script it first compi.. 2009. 10. 29. 인코딩을 통한 XSS필터 회피 기술 HTML 출력에 들어가는 Content-Type의 charset을 변조함으로써, XSS 공격에 사용되는 문자열이 XSS차단필터에 의해서 걸리지 않도록 하는 검사회피기술이다. 예를 들어서, 원래의 XSS 공격 문자열이 라고 하자. 그런데, XSS차단필터가 와 같은 문자열을 차단하기 때문에, 이 공격은 성공할 수 없다. 그런데, 만약 서버의 응답 HTML의 Content-Type 선언에서 charset을 변경시킬 수 있다면, 이 XSS차단필터를 통과할 수 있다. 예를 들어, 아래와 같은 문자열은 XSS차단필터에서 보면, 전혀 의미가 없는 문자열일 뿐이다. %A2%BE%BCscript%BEalert(%A2XSS%A2)%BC/script%BE 그렇지만, 위의 문자열을 US-ASCII charset으로 디코딩을 .. 2009. 10. 28. DNSSEC(DNS Security Extensions) DNSSEC이란? DNSSEC은 도메인 네임 시스템(DNS)이 갖고 있는 보안 취약점을 극복하기 위한 DNS 확장 표준 프로토콜이다. "DNS Security Extentions(DNS 보안성 확장)"을 축약하여 DNSSEC이라 부른다. DNS 프로토콜은 데이터 위-변조 침해공격의 위협에 취약하다는 문제점을 가지고 있었다. DNS 데이터의 위-변조 침해공격은 진짜 사이트와 동일한 모습으로 위장하고 있는 가짜 사이트로 사용자들이 접속하게끔 유도할 수 있다. 자신이 접속하고 있는 사이트가 가짜 사이트인 줄 모르는 사용자는 자신의 로그인 계정과 암호, 그리고 신용카드 비밀번호와 같은 개인정보를 가짜 사이트의 웹 페이지에서 입력하게 되어, 개인 정보가 악의를 가진 공격자에게 노출되는 사고가 발생할 수 있다. D.. 2009. 10. 27. 이전 1 ··· 496 497 498 499 500 501 502 ··· 596 다음 728x90