우리가 웹사이트에 가입할 때 보안을 위해 비밀번호를 생성한다. 비밀번호 입력란을 보면 조건이 나와있는 경우가 대부분이다. 가령 이렇게 말이다.
비밀번호는 사용자의 정보를 보호하는 강력한 역할을 하기 때문에 단순하게 설정하지 않는 것이 매우 중요하다. 또 개발자는 사용자의 비밀번호를 암호화해서 저장하는 것도 굉장히 중요하다. 단순하게 설정했다간 당신의 정보가 다 털릴 수 있음을 기억해야한다.
당신의 비밀번호를 알아낼 수 있는 방법
세 가지의 방법이있다. 우선 첫 번째 웹 프록시 툴을 사용하여 웹을 해킹할 수 있다.
Web Proxy
웹 프록시는 클라이언트에 설치하여 클라이언트의 통제를 받으므로 클라이언트가 웹 서버와 우베 브라우저 간에 전달되는 모든 HTTP 패킷을 웹 프록시로 확인 및 수정할 수 있다.
Proxy Intercept
두 번째로 프록시 서버가 클라이언트와 서버 간의 통신을 가로채는 기능이다. 이를 통해 클라이언트와 서버 간의 모든 패킷을 볼 수 있으며, 필요한 경우 패킷의 내용을 수정할 수도 있다.
그리고 마지막 Brute Force공격 방법이 있다.
열 번 찍어 안 넘어가는 나무 없다. Brute Force 공격
이 방법은 모든 가능한 조합을 시도하여 암호를 깨는 방법 중 하나이다. 일반적으로 강력한 보안 시스템에서는 효과가 없지만, 비교적 간단한 시스템에서는 효과적일 수 있다. 암호를 대량으로 생성할 때도 유용하게 쓰인다.
에이 설마 진ㅉㅏ...?
그렇다. 진짜다 무작위로 숫자를 입력해서 비밀번호를 깰 수 있다. 아래 문제를 풀면서 확인해보자.
아이디 알아내기
주석을 보면 힌트가 나와있다. 이를 활용해보자.
비밀번호 알아내기
마찬가지로 비밀번호도 0 ~ 9999 사이라는 힌트를 줬다. 따라서 위에서 언급한 브루트 포스 방식을 이용해서 알아낼 수 있다.
Burp Suite로 패킷을 가로챈 뒤 password를 조작해 0부터 9999까지 쏴주면 비밀번호를 알아낼 수 있다.
알아낸 아이디와 비밀번호를 입력해서 가로챈 패킷의 값을 최종적으로 조작한 뒤 패킷을 쏴주면 성공적으로 로그인한다.
'정보보안' 카테고리의 다른 글
| [정보보안]시스템해킹 (0) | 2023.06.15 |
|---|---|
| [정보보안] sql Injection (0) | 2023.06.15 |
| [정보보안] CSRF 공격하기 (0) | 2023.06.15 |
| [정보보안] 웹 해킹이라 읽고 내 흑역사를 찾는 방법이라 쓴다 (0) | 2023.05.08 |
| [정보 보안] 우리가 보안 윤리 교육을 받아야 하는 이유. (0) | 2023.03.23 |
