Brute Force

OWASP TOP 10

OWASP TOP 10은 웹 애플리케이션 보안의 주요 위험 요소를 나타내는 목록이다.

 

 

Brute Force

OWASP TOP 10 중에서 첫번째로 Brute Force에 대해 실습해보자! Brute Force란 모든 가능한 조합을 시도하여 암호나 인증 정보를 찾아내는 공격 방법이다. 이를 위해 kali에 설치되 있는 burp suit을 활용했다.

 

 

burpsuit

웹 애플리케이션 보안 테스트 도구로, 보안 전문가 및 개발자가 웹 애플리케이션의 취약점을 검사하고 해결하기 위해 사용하는 강력한 소프트웨어이다.

 

 

설정

burpsuit을 처음 시작하면 모두 디폴트로 설정

 

 

파이어폭스에서 settings 클릭

 

 

제일 아래 Network Settings에서 'Settings...' 클릭

 

 

프록시로 burpsuit을 거치도록 설정

칼리 리눅스의 IP 주소를 확인해서 적었다.

 

 

인터넷에 바로 접속되지 않는 것 확인

 

 

모든 interface에 대해 listening 상태가 되도록 설정

 

 

intercept on으로 설정

 

 

dvwa로 접속 시도

 

 

intercept 확인

 

 

Brute Force 실습

본격적으로 DVWA를 활용해 Brute Force를 실습해보자.

DVWA에서 보안 수준을 설정할 수 있다. 처음이니 Low 레벨로 시작하자!

 

 

Brute Force 탭을 누르면 로그인 화면이 나온다

 

 

burp suit을 통해 기입한 암호를 확인할 수 있다

 

 

우클릭 후 Send to Intruder를 클릭

 

 

Brute Force할 범위를 확인 후 Add$ 클릭

 

 

설정 후 Start attack 클릭

 

 

많은 시간이 걸리지만 설정한 모든 경우 수를 로그인 해본다

 

 

Simple list 방법

Load 클릭

'/usr/share/john/password.lst' 선택

주석은 시프트를 통해 제거 이후 Start attack 클릭

 

 

length가 다른 비밀번호 확인!

 

 

10 보안레벨을 올리면 sleep 모드 확인 가능

sleep 모드를 통해 Brute attack을 늦출 수 있다.