보안(22)
-
[DIVA] 모바일 취약점 진단 2. HARDCODING ISSUES - PART 1
[오늘의 학습목표] - 어떤 값이 어디에 하드코딩 되어 있는지 찾기 [모바일 취약점 진단 실습 2. HARDCODING ISSUES - PART 1] 2. HARDCODING ISSUES - PART 1 을 클릭하면 어떤값이 어디에 하드코딩되어있는지 찾아서 입력하는 문제가 나온다. *하드코딩이란? 간단히 말해서, 소스코드에 직접 값을 입력한 것. 아래와 3번째 그림과 같이 아무 값이나 입력하면 Access denied! See you in hell :D 문구와 함께 접근이 거부된 것을 확인 가능하다. jadx로 소스코드를 확인하면 바로 하드코딩된 key값을 확인 가능하다. vendorsecretkey와 입력한 문자열이 같으면 Access granted! , 같지 않으면 Access denied!라는 ..
2024.09.12 -
[DIVA] 모바일 취약점 진단 1. INSECURE LOGGING
구글에 diva android 라고 치면 다운로드 받을 수 있는 github가 바로 나온다.아래 링크를 걸어두겠다.https://github.com/0xArab/diva-apk-file GitHub - 0xArab/diva-apk-file: DIVA (Damn insecure and vulnerable App) is an App intentionally designed to be insecureDIVA (Damn insecure and vulnerable App) is an App intentionally designed to be insecure - 0xArab/diva-apk-filegithub.com 1. INSECURE LOGGING 을 클릭해서 넘어가보면 뭐가 로깅되고 있는지 어디에 로깅되고 ..
2024.09.11 -
버프스위트(Burpsuite) 인증서 설치_브라우저 접속 안됨 해결
버프수트 깔면 인증서도 같이 설치해줘야 한다.안그럼 웹페이지 접속할때 자꾸 접속안되는 고질적인 문제가.. http://burp/에 접속해주자 우측 상단에 CA Certificate라고 있는 문자를 클릭하면 아래와 같이 인증서가 다운로드된다. 다운받은 인증서를 더블클릭하면 아래와 같은 화면이 나온다.인증서 설치 버튼을 클릭하고 [모든 인증서를 다음 저장소에 저장] 클릭 후 [찾아보기]를 누르자. [신뢰할 수 있는 루트 인증 기관] 선택 요로케 되었으면 다음 누르고 설치하면 된다.그러면 접속이 잘 될것이다~~~~
2024.08.04 -
클릭 재킹(Click jacking) 개념, 대응방안, 실습
[클릭 재킹(Click jacking) 개념] 사용자가 인식하지 못하게 웹페이지의 특정 요소를 조작하도록 유도하는 공격 방식이다. 페이지를 iframe으로 투명하게 불러와놓고 버튼이나 링크(계정탈퇴, 계좌이체)를 이름을 바꿔서("클릭하세요"와 같은 모양새) 클릭하도록 사용자를 유도하는 Client-Side 공격이다. OWASP Top-10 취약점의 4위에 해당하는 Insecure Design(안전하지 않은 설계)에 해당하는 취약점이다. [대응방안] X-Frame-Options 보안 헤더를 DENY 또는 SAMEORGIN으로 설정content-security-policy를 none 또는 self로 설정Framing buster scripts 작성 - https://cheatsheetseries.owasp...
2024.07.29 -
[Wireshark] 네트워크 패킷 분석 툴 소개, 사용법
Wireshark?네트워크 패킷을 분석할 수 있는 도구이다. https://www.wireshark.org/download.html Wireshark · DownloadWireshark: The world's most popular network protocol analyzerwww.wireshark.org정식 사이트에서 무료로 다운받을 수 있다. 파일을 실행하면 현재 통신하고 있는 환경을 선택하면 된다.대부분 WiFi로 연결해서 쓰거나, 이더넷을 사용하는 듯.통신하는 네트워크를 선택하면 위 화면과 같이 네트워크 패킷을 가져와서 보여준다.패킷 세부 내용패킷을 선택하면 아래 상세 설명화면을 트리구조로 볼 수 있다.Ethernet, Internet Protocol(IP), Transmission Contro..
2024.05.25