[원문: http://tools.kali.org/information-gathering/cookie-cadger]
정의
Cookie Cadger helps identify information leakage from applications that utilize insecure HTTP GET requests.
Web providers have started stepping up to the plate since Firesheep was released in 2010. Today, most major websites can provide SSL/TLS during all transactions, preventing cookie data from leaking over wired Ethernet or insecure Wi-Fi. But the fact remains that Firesheep was more of a toy than a tool. Cookie Cadger is the first open-source pen-testing tool ever made for intercepting and replaying specific insecure HTTP GET requests into a browser.
Cookie Cadgers Request Enumeration Abilities
Cookie Cadger is a graphical utility which harnesses the power of the Wireshark suite and Java to provide a fully cross-platform, entirely open- source utility which can monitor wired Ethernet, insecure Wi-Fi, or load a packet capture file for offline analysis.
간략하게 Cookie Cadger는 안전하지 않은 HTTP GET 요청을 이용하는 어플리케이션으로부터 정보 유출을 진단하는 도구
요즘은 웹에서 SSL/TLS를 제공하기 때문에 쿠키데이터는 안전하게 보관되기때문에 활용도는 많이 떨어질 것으로 판단됨.
그래서인지 cookie cadger는 칼리2.0에서 기본적으로 제공되지 않음
Usage
https://www.cookiecadger.com/ 접속 후 다운로드
다운로드 버튼 클릭
jar파일 다운로드
실행방법
#java -jar CookieCadger<version>.jar
위의 사진은 실행화면이다.
arp -a로 맥주소확인
target pc인 ubuntu의 맥주소이다.
좌측은 우분투(target pc)에서 네이버를 실행한 것이고 우측은 칼리의 cookie cadger gui모습이다.
취약한 사이트를 찾기엔 시간도 걸려 그냥 네이버로 실행하였다.
위의 사진을 보면 가운데 도메인이 나오고 우측에는 요청된 것들이 나오는데 행에 마우스 커서를 올려놓으면 쿠키데이터를 확인할 수 있다. 또한 Load Domain Cookies 버튼을 클릭하면 해당 쿠키데이터를 기반으로 칼리에서 웹으로 실행이 된다. 물론 네이버는 안되지만 취약한 사이트를 찾아서 테스트해보는 것도 나쁘지는 않을 것 같다.
해당 포스팅은 단순 소개를 목적으로 하기 때문에 위의 언급사항에 대해서는 진행하지 않는다.
또한 앞으로 칼리2.0에서 지원하지 않는 도구는 시간 상 skip...
'해킹 > kali tools' 카테고리의 다른 글
[Information-Gathering08]DMitry (0) | 2016.02.24 |
---|---|
[Information-Gathering07]copy-router-config (0) | 2016.02.24 |
[Information-Gathering05]cisco-torch (0) | 2016.02.23 |
[Information-Gathering04]cdpsnarf (0) | 2016.02.23 |
[Information-Gathering03]automater (0) | 2016.02.22 |