Security Automation for AWS WAF - 2) 공격 테스트 실습 환경 구성

CloudNet@가시다님이 진행하는 "AWS Hacking & Security Study" 1기 스터디입니다.
# [AWS Workshop Studio] Security Automation for AWS WAF 를 참조하였습니다.

✅ 취약한 웹 서비스 환경 구성

출처 : https://catalog.us-east-1.prod.workshops.aws/workshops/e359c0ea-7392-4f6f-b5e3-798928fbdca4/ko-KR/penentration

 

• 위협 요인이 내재된 환경을 구성하기 위해 CloudFormation을 실행 AWS 리소스 생성

출처 : https://catalog.us-east-1.prod.workshops.aws/workshops/e359c0ea-7392-4f6f-b5e3-798928fbdca4/ko-KR/penentration

 

💠 사전에 EC2 키페어 생성

• “waf-lab-seoul”를 입력한 후, 키페어 생성

• “waf-lab-seoul.pem” 파일을 다운로드

💠 CloudFormation 템플릿 실행

• 스택 이름과 키페어를 지정하고 IAM 리소스 생성에 대한 허용 체크를 한 뒤 스택을 생성합니다.

• 생성완료된 스택 확인

💠 DVWA 웹 페이지 접속 확인

• 생성된 DVWA 웹페이지 접속 확인

• EC2 메뉴하단에  ALB (Application Load Balancer)가 생성된 것을 확인한 후 해당 ALB 의 DNS 이름을 이용하여 인터넷 브라우져에서 접속

• "ID = admin", "Password = password" 를 입력 정상적으로 로그인 확인

💠 DVWA 환경 설정

• 실습 진행과정에서 공격을 쉽게 수행하기 위해서는 DVWA 의 Security Level 설정을 변경
• DVWA 에 접속한 후 "DVWA Security" 메뉴를 클릭

• 기본값으로 설정되어 있는 "Impossible" 을 "Low" 로 변경