Ssoon

Security Automation for AWS WAF - 2) 공격 테스트 실습 환경 구성 본문

AWS Hacking & Security Study

Security Automation for AWS WAF - 2) 공격 테스트 실습 환경 구성

구구달스 2023. 9. 13. 00:30 
CloudNet@가시다님이 진행하는 "AWS Hacking & Security Study" 1기 스터디입니다.
# [AWS Workshop Studio] Security Automation for AWS WAF 를 참조하였습니다.

취약한 웹 서비스 환경 구성

출처 : https://catalog.us-east-1.prod.workshops.aws/workshops/e359c0ea-7392-4f6f-b5e3-798928fbdca4/ko-KR/penentration

 

  • 위협 요인이 내재된 환경을 구성하기 위해 CloudFormation을 실행 AWS 리소스 생성

출처 : https://catalog.us-east-1.prod.workshops.aws/workshops/e359c0ea-7392-4f6f-b5e3-798928fbdca4/ko-KR/penentration

 

💠 사전에 EC2 키페어 생성

  • “waf-lab-seoul”를 입력한 후, 키페어 생성

  • “waf-lab-seoul.pem” 파일을 다운로드

💠 CloudFormation 템플릿 실행

  • 스택 이름과 키페어를 지정하고 IAM 리소스 생성에 대한 허용 체크를 한 뒤 스택을 생성합니다.

  • 생성완료된 스택 확인

💠 DVWA 웹 페이지 접속 확인

  • 생성된 DVWA 웹페이지 접속 확인

  • EC2 메뉴하단에  ALB (Application Load Balancer)가 생성된 것을 확인한 후 해당 ALB 의 DNS 이름을 이용하여 인터넷 브라우져에서 접속

  • "ID = admin", "Password = password" 를 입력 정상적으로 로그인 확인

💠 DVWA 환경 설정

  • 실습 진행과정에서 공격을 쉽게 수행하기 위해서는 DVWA 의 Security Level 설정을 변경
  • DVWA 에 접속한 후 "DVWA Security" 메뉴를 클릭

  • 기본값으로 설정되어 있는 "Impossible" 을 "Low" 로 변경

저작자표시

'AWS Hacking & Security Study' 카테고리의 다른 글

Security Automation for AWS WAF - 4) 공격 테스트 및 방어 (심화)  (0) 2023.09.14
Security Automation for AWS WAF - 3) 공격 테스트 및 방어 (기본)  (0) 2023.09.13
Security Automation for AWS WAF - AWS WAF Log parser  (0) 2023.09.12
Security Automation for AWS WAF - 1) 환경 구성  (0) 2023.09.11
AWS IAM Workshop - EC2 인스턴스에 Role 부여  (0) 2023.09.10
'AWS Hacking & Security Study' Related Articles more
Comments