DVWA

DVWA 살펴보기

• DVWA 계정
  • admin
  • password
• DVWA
  • 웹 해킹을 실습할 수 있도록 제작된 WA
  • DB 세팅
  • 각종 해킹 기술 실습
  • DVWA Security
    • 보안레벨 변경

브루트포스 공격

• 무식한 방법
• 사용자 패스워드를 알아내기 위한 공격
• 무식하게 패스워드를 계속 대입해보자
  • 알파벳순(단순)
  • 딕셔너리 공격
    • 사람들이 자주쓰는 패스워드 위주로 공격
• 실습
  • 자동 브루트포스 공격(알파벳순)
    • 버프스위트의 Intruder 이용
      • Proxy > Intercept Off
      • Proxy > HTTP History > Send to Intruder
      • Intruder > Positions
        • param 보내는 부분 확인
        • password 부분만 선택
      • Intruder > Payloads > type : Brute forcer
        • password 에 넣은 char
        • 문자길이
        • 경우의 수 확인 가능
        • start attack
          • 응답메세지의 길이로 맞는 ps 인지 아닌지 추정가능
    • 알파벳 순으로 요청보내는 것을 확인 가능
      • 간단하고 언젠가는 찾을 수 있겠지만 시간이 오래걸리고, 패스워드 길이가 길수록 사실상 불가능한 방법..
  • 딕셔너리 공격
    • 딕셔너리 파일
      • /usr/share/john/password.lst
      • 해커들은 천만개가 넘는 파일 사용
      • 통계적으로 많이 쓰는 패스워드-> 상대적으로 빠르게 찾을 수 있음
    • 실습
      • Intruder > Payloads > Simple list
        • start attack
          • 응답메세지의 길이로 맞는 ps 인지 아닌지 추정가능

브루트포스 공격 대응

• DVWA Security level : Medium
  • 잘못된 패스워드일때 응답 느리게-> 공격 지연시키기
• DVWA Security level : High
  • 잘못된 패스워드일때 응답 랜덤한 시간만큼 느리게-> 해커가 몇 초동안 쉬는지 예상할 수 없도록
• DVWA Security level : Impossible
  • 로그인이 몇 번이상 실패했을때 Locking 걸기
  • 단점
    • 해커가 일부러 잘못된 패스워드로 접근해서 사용자 계정을 락걸어버리게 할 수 있음
• 실제 사람이 로그인하는지에 대한 CAPTCHA 를 걸어놓을 수도 있음..ex) AWS