반응형 전체 글65 [Apktool] 안드로이드 어플리케이션 Tool 개념 및 설치방법 Apktool?안드로이드 애플리케이션 대상의 리버스 엔지니어링 도구APK파일을 분석해서 리소스를 디코딩할 수 있고, 코드를 수정해서 재빌드할 수도 있음 https://apktool.org/ Apktool | ApktoolA tool for reverse engineering Android apk files.apktool.org여기에서 다운로드난 Windows 용을 다운받음. 위 설명대로 하면 됨. 1. wrapper script라고 표시된 초록색 부분을 클릭하면 아래와 같은 페이지가 열림. 마우스 우클릭하고 apktool.bat이라는 이름으로 저장하기. 2. apktool.2.3.3.jar (최신버전)을 다운로드3. apktool.2.3.3.jar -> apktool.jar 로 이름 변경 (버전 지워주기.. 2024. 5. 25. [안드로이드 모바일 취약점 진단] 인시큐어뱅크 앱 진단_하드코드된 중요정보1 공부한 걸 기록하는 목적으로 포스팅한 글이니,오픈소스인 인시큐어뱅크 앱으로 따라서 해보는것까지는 문제가 되지 않지만실제 서비스하고있는 앱을 해킹할 시 책임지지 않습니다. 하지마세요. KISA에서 제공하는 "모바일 대민서비스 취약점 진단 가이드" 기준 9,12번에 해당하는 보안기능 취약점 하드코드란?상수나 변수에 들어가는 값을 소스코드에 직접 쓰는 방식(고정된 값)string a="test"; Android Studio 설치 후 인시큐어 뱅크파일을 불러와서 app > src > main > java > com > android > insecurebankv2에 접근 해당 폴더 우클릭 후 Find in Path 열기 Find in Path에서 인시큐어뱅크 아이디인 jack 검색 시 소스와 주석에 하드.. 2024. 5. 23. [안드로이드 모바일 취약점 진단] 환경 구축 안드로이드 모바일 취약점 진단을 공부하면서 까먹지 않기 위해 하는 정리본입니다. Nox 설치 후 시스템 설정시스템 설정에서 ROOT 켜기 진단 수행 앱: 안드로이드 인시큐어뱅크 앱https://github.com/dineshshetty/Android-InsecureBankv2 GitHub - dineshshetty/Android-InsecureBankv2: Vulnerable Android application for developers and security enthusiasts to learn abVulnerable Android application for developers and security enthusiasts to learn about Android insecurities - dines.. 2024. 5. 23. HSTS(HTTP Strict-Transport Security, RFC 6797) 개념 [개념] 웹 사이트가 오직 HTTPS를 통해서만 접근이 가능하다고 선언하여, 보안 연결을 전제로 하는 상호작용을 지시하고 강제하는 보안 정책 매커니즘 [구현 방법] 웹 서버 응답 헤더로 Strict-Transport-Security 헤더 설정 Strict-Transport-Security: max-age=31536000; preload; includeSubDomains //HSTS 정책을 31,536,000초(1년) 동안 하위 URL 모두 적용한다는 의미 위 사진과 같이 응답헤더에 포함되어있는 것을 확인 가능 브라우저가 HTTPS응답에서 위 헤더를 확인하게 되면 max-age에 명시된 시간만큼 '해당 도메인은 HTTPS로만 연결해야 한다'라고 기억하게 됨 그리고 이후 HTTP 연결이 시도된 경우에는 30.. 2024. 3. 20. [시큐어코딩] 경로 조작 및 자원삽입_개념 및 보안대책 입력 데이터 검증 및 표현 - 경로 조작 및 자원 삽입 [개념] 시스템 자원 접근경로 또는 자원제어 명령어에 검증되지 않은 외부 입력값을 허용하여 시스템 자원에 무단 접근 및 악의적인 행위가 가능한 보안약점 [공격 사례] - 경로조작 및 자원삽입 - 입력값을 조작하여 허가되지 않은 명령 실행 [설계 시 고려사항] 1. 외부입력값을 이용하여 시스템자원(IP, PORT번호, 프로세스, 메모리, 파일 등)을 식별하는 경우 허가되지 않은 자원이 사용되지 않도록 해야 한다. 2. 서버프로그램 안에서 셸을 생성하여 명령어를 실행해야 하는 경우 외부입력값에 의해 악의적인 명령어가 실행되지 않도록 해야 한다. [보안대책] 외부의 입력을 자원(파일, 소켓의 포트 등)의 식별자로 사용하는 경우, 적절한 검증을 거치도록 하.. 2024. 3. 19. 윈도우 검색 기능 안됨 (윈도우 찾기 기능) 어느날부터 윈도우 찾기 기능이 사용이 안 되는 걸 알게됐다. 원래 컴퓨터 좌측 하단에 있는 찾기 기능으로 유용하게 프로그램을 찾아서 썼는데 아래와 같이 아무결과도 안나오다가 그냥 꺼져버리는 현상 발생...;; 해결방법은 여러가지가 있다고 한다. [해결방법 1] 작업 관리자에서 앱 작업 끝내기 일단 작업관리자를 들어간다. CTRL+SHIFT+ESC 를 누르거나 작업표시줄에서 마우스 우클릭 후 작업관리자를 선택하면 된다. 아래 이미지에서 표시된 부분에 "검색" 이라고 되어있는 앱을 찾아서 해당 앱을 우클릭 후 작업 끝내기를 누르면 해결된다고 한다. 하지만 내 경우엔 작업 관리자에 표시되는 앱이 없다..;; [해결방법 2] 윈도우 서비스 설정 Windows Search 다시시작 CTRL+R키를 눌러서 실행 프.. 2024. 3. 19. 이전 1 ··· 3 4 5 6 7 8 9 ··· 11 다음 반응형
