| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
- 취약점
- 개인정보보호법
- AWS
- 클라우드서비스
- 보안컨설팅
- EC2
- 클라우드보안
- 로드밸런서
- 로그분석
- ncp
- isms
- 공개키
- 클라우드자격증
- 인스턴스
- ISMS-P
- AWS SAA
- AWS SSA
- 클라우드 자격증
- azure
- mysql
- 클라우드
- 네이버클라우드
- 와이어샤크
- 파일시그니처
- Burp Suite
- RDS
- metasploit
- 정보보호
- 정보보안
- Iam
- Today
- Total
처음 만나는 클라우드 보안
사전 공격(Dictionary Attack) 실습 본문
이번 포스팅에선 사전 공격에 대해 알아보고 DVWA의 타깃 계정에 대한 암호를 알아낸다.
사전 공격(Dictionary Attack)이란?
: 사전 대입 공격이라고도 불리며, 암호를 알아내기 위해 사전의 단어를 순차적으로 입력하는 공격 기법을 말한다.
- 테스트 입력 후 패킷 확보
: 공격대상 서버인 DVWA에 우선 테스트 계정을 입력한다. Burp Suite를 실행하여 해당 패킷을 수집한다.
- 사전 업로드 후 공격 시작
: 해당 암호 입력 패킷을 Intruder에 입력, 준비된 사전(Dictionary)을 업로드하여 공격을 시작한다.
- 계정 정보 확인
: Burp Suite의 응답 길이를 통해 ‘charley’가 패스워드임을 알 수 있다.
- 로그(log) 확인
: 사전의 암호 값을 계속해서 대입하기 때문에 공격 대상 서버에는 아래 경로로 로그인 시도 흔적이 남는다.
cd /var/log/apache2
tail -30 access.log | more
- 대응방법
- 암호 생성 시 단순 나열은 지양하고 특수문자나 대소문자를 섞어 설정한다.
- 비밀번호 입력 횟수 제한을 설정하고 횟수 초과 시 잠금 조치되도록 한다.
- *Captcha를 활용하여 자동화 스크립트를 방지한다.
*CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)
자동화 판별 프로그램으로 사용자가 실제 사람인지 컴퓨터 프로그램인지를 구별할 때 사용되는 방법이다.
참고자료
http://wiki.hash.kr/index.php/%EC%82%AC%EC%A0%84%EA%B3%B5%EA%B2%A9
사전공격 - 해시넷
사전공격(dictionary attack)은 사전 대입 공격이라고도 불리며, 사전에 있는 단어를 입력하여 암호를 알아내거나 해독하는 컴퓨터 공격법이다. 암호를 알아내기 위한 공격은 사전의 단어를 순차적
wiki.hash.kr
'정보보안' 카테고리의 다른 글
| 보안 위협 탐지를 위한 로그분석 (0) | 2022.05.17 |
|---|---|
| 메두사(Medusa)를 활용한 Dictionary 공격 (0) | 2022.05.17 |
| CSRF공격을 활용한 사용자 패스워드 변경하기 (0) | 2022.05.17 |
| 웹서버 구축 & 웹방화벽(Modsecurity) 올리기 (0) | 2022.05.16 |
| 침입탐지 시스템(IDS) - snort, suricata, 패턴 읽기 (0) | 2022.05.13 |
