본문 바로가기

dvwa4

[AWS WAF] #3 특정 국가 or User-Agent 차단 (custom rule) 목차 1. 특정 국가 차단 (Browsec VPN 사용) 2. 특정 User-Agent 차단 (User-Agent Switcher 사용) 3. custom rule 작성 시 참고사항 1. 특정 국가 차단 무료로 사용 가능한 VPN 중, 싱가포르의 트래픽을 차단해보겠다 1-1) 차단 전 확인 WAF를 설정하기 전에는 싱가포르에서 접속이 되는지 확인해보자 Browsec을 ON 시킨 후, Change > Singapore DVWA로의 접속은 잘 된다 1-2) Rule 생성 만들어둔 WAF Web ACLs에서 Rules 탭으로 이동 전 실습과는 다르게 Add my own rules and rule groups를 누른다 Rule Name은 맘대로 정해주자 Statement의 Inspect는 Origin from .. 2021. 2. 25.
[AWS WAF] #2 SQL Injection & XSS 공격과 방어 (AWS managed rule) 목차 1. SQL Injection 공격/설명 2. XSS (Reflected) 공격/설명 3. WAF로 방어 ※ 시작 전에! 첫번째 글에서 깔았던 크롬 확장 도구인 Browsec VPN을 ON 한 상태로 시작하겠다 우리나라에서 뭘 많이 막아논건지 뭐가 문젠진 모르겠지만 암튼 그냥 공격하면 안먹힘 1. SQL Injection 1-1) 일단 공격해보기 DVWA의 SQL Injection 탭으로 이동해서 ' OR 1=1 # 을 작성해서 Submit을 눌러보자 여러 계정 정보들이 출력된다 (공격 성공) 1-2) 공격 설명 📌 SQL Injection이란? 악의적인 사용자가 보안상의 취약점을 이용하여 임의의 SQL문을 주입하고 실행되게 해 데이터베이스가 비정상적인 동작을 하도록 조작하는 행위 User ID에 .. 2021. 2. 25.
[AWS WAF] #1 사전 리소스들과 WAF 구성 목차 1. 사전 리소스 구성 2. 만들어진 DVWA 확인 3. WAF Web ACL 구성 1. 사전 리소스 구성 위 템플릿 파일을 다운받아 CloudFormation 스택을 생성해보자 인스턴스 타입과 VPC 대역은 변경 가능하다 디폴트값으로 진행했을 때 생성되는 리소스들은 아래와 같다 준비된 환경에 WAF까지 구현한 아키텍처는 다음과 같다 2. 만들어진 DVWA 확인 스택 배포로 생성된 ALB의 DNS로 접속해보면 DVWA의 로그인 페이지로 접속된다 초기 ID : admin / 비밀번호 : password 왼쪽의 메뉴들 중 DVWA Security 탭으로 이동해 Security Level을 Low로 설정한 후 Submit을 해주자 취약점을 공격하기 쉬운 단계로 낮추는 것이다 (레벨별로 공격하는 방법이 다.. 2021. 2. 25.
[AWS WAF] #0 실습 전 준비 AWS 공식 WAF 실습을 진행해보겠다 먼저 WAF란? HTTP(S) 요청을 모니터링하고 보호하는 웹 애플리케이션 방화벽 특정 공격 패턴(SQL Injection, XSS 등)을 차단, 특정 트래픽 패턴을 필터링 등을 할 수 있다 차단된 요청에 대해선 HTTP 403 코드로 응답한다 비용은 사용한 만큼 : 배포한 규칙 수와 애플리케이션이 수신한 웹 요청 수 기준 WAF 배포 가능한 리소스 : CloudFront, ALB, API Gateway, AppSync DVWA란? Damn Vulerable Web Application PHP와 MySQL로 만들어진 웹의 취약점에 대한 공격 및 방어 기술 교육에 사용되는 오픈소스 애플리케이션 더보기 https://dvwa.co.uk/ https://github.co.. 2021. 2. 25.