피들러를 통한 변조 공격 방법 이전 글에서는 피들러 설치 및 설정 방법에 대하여 간략하게 설명드렸습니다. 이번 글에서는 피들러를 통하여 파라메터나 쿠키값을 변조하여 공격하는 방법에 대하여 알아보도록 하겠습니다. 1. 캡쳐해놓은 요청 전문을 변조하여 재 요청하는 방법 1-1. 캡쳐된 요청전문 클릭 -> Inspectors -> Headers -> Raw -> 팝업에서 요청전문 복사 1-2. Composer 탭에서 복사한 전문을 넣고, 쿠키값 및 파라메터등을 변조 한 후 Execute 버튼을 누릅니다. (POST 요청 전문일 경우 Request Body에 FormData를 추가 할 수 있습니다.) 1-3. Execute를 누르면, 변조된 요청값을 통한 Response 결과가 좌측에 표시되게 됩니다. 2. 요청 전문이 서버로 전달되기 이전.. 더보기 피들러 (무료 프록시 툴) 설치 방법 무료로 제공되는 프록시툴이 많이 있지만, 이 중 피들러에 대하여 소개해드리려고 합니다. \피들러를 통하여 클라이언트 => 서버측으로 전달되는 요청 전문을 모니터링 할 수 있으며, 쿠키 값 및 요청 파라메터등을 조작하여 변조 테스트를 진행 할 수 있습니다. 0. 피들러 설치 - 별도의 설치 방법은 생략하며, 다운로드 링크만 제공해드립니다. (설치파일을 실행 후 next만 눌러주세요) 피들러 다운로드 링크 => 클릭 1. 피들러 설정 1-1. https사이트의 요청을 캡쳐 가능하도록 설정하는 방법 Tools -> Teleink Fiddler Options -> HTTPS 탭 -> 붉은색으로 마스킹된 체크박스 모두 선택 -> 피들러 인증서 설치 창이 뜰 경우 인증서 설치 진행 -> OK -> 피들러 닫고 재 .. 더보기 IIS Web.config에 설정해주어야 하는 보안 서버 설정 IIS를 사용하는 웹 서버의 경우, Web Application에 아래와 같은 설정을 추가로 해주시면 좋습니다. 1. 불필요한 소스 노출 방지 => 커스텀 에러페이지를 사용하여 불필요한 소스 노출을 방지 할 수 있습니다. 2. https를 사용하는 사이트의 경우, 특별한 경우가 아닌이상 http로 접속 시 https로 Redirect 해주는 모듈을 적용시켜주어야 합니다. => 단, https가 바인딩된 사이트여야 하며, 반드시 http ReWrite 모듈이 설치되어 있어야 합니다. 3. POST, GET 요청 Method만 허용 => DELETE, PUT 등의 Method는 허용하지 않도록 합니다. 4. 정적 리소스가 아닌 동적 리소스, 페이지 등은 캐싱 가능하지 않도록 설정해주어야 합니다. 5. 서버 .. 더보기 이전 1 2 3 4 5 6 7 다음
