Network & Protocol & Infra/Network Attack

HTTP/HTTPS 패킷 캡쳐는 와이어 샤크나 burp suite, Postman보다 크롬의 Network 탭이 더 유용할 때가 많다. 크롬 패킷 캡쳐는 https도 보이고, 외부 사이트와 상호작용 하는 것도 보인다.새로 고침하거나, 페이지 이동 시 기존 로그가 날아간다는게 가장 큰 문제인데, 크롬 옵션에서 안날아가게 할 수 있음!!`` 개발자 도구 - Settings - Network에서 Preserve log 체크`` 캡쳐한 항목 아무거나 우클릭 - Save all as HAR with content하면 저장할 수 있고, 그냥 드래그 앤 드롭으로 다시 불러올 수 있음. 와이어 샤크 : 좀 더 정리된 형태로 보고싶은데 raw하게 볼 수 밖에 없다는게 단점... HTTPS는 볼 수 없다는게 제일 큰 문제..

https://github.com/umbum/arp_spoof 패킷 만들어서 보내면 victim이 `` arp -d``같은거 수행 안해도 패킷 받자 마자 ARP table 업데이트가 일어나면서 MAC이 변경된다. 근데 공유기 같은거 끼고하면 안되는게, 공유기에 ARP spoofing 방지 기능이 있기 때문.핫스팟 켜고 테스트해보면 잘 된다. ARP spoofing 방지 기능 없는 경우, `` src - 공유기 - victim``이 유선으로 구성되어 있는 경우에도 잘 먹힌다. * 저가형 공유기의 경우 자동 차단 기능은 없고, 몇 초 간격으로 공유기에서 다시 ARP를 보내는 수준의 기능만 있다. Attacker spoofing 패킷을 시도하는 호스트. Sender spoofing을 당해 Attakcer에게 ..

TLS는 확장 프로토콜로 Heartbeat를 사용한다. ( RFC 6520 )Heartbeat는 Client와 Server가 connection이 제대로 유지되고 있는지 확인하기 위해 사용한다. Client는 Heartbeat를 이용하여 임의의 값을 그 길이와 함께 Server에 전송,Server는 받은 임의의 값을 Client에게 돌려보내는 과정으로 이루어진다. 임의의 값과 그 값의 길이 정보가 일치하지 않는다면 응답하지 않는 것이 정상이나, Heartbleed 취약점은 Server가 이것이 일치하는지 검증하지 않고 응답하면서 발생하는 취약점이다.Client가 "Hi!", 30Byte라고 보내면 Server는 "Hi!：？aw＾er？435ˇs........awe23.4.rw234", 30Byte와 같이 ..