보호되어 있는 글입니다.

https://hagsig.tistory.com/114 [iOS App 진단] 04강 - 진단 대상 설치 iOS 앱 진단을 위해 설치 파일을 요청하면, 대개 아래 3가지 방법 중에 하나의 방법으로 전달해준다. 1. 앱 스토어를 통해 설치 이미 앱 개발이 완료되어 앱스토어에 등록되어 있을 경우, 앱스토어 hagsig.tistory.com 필요 트윅들 https://hagsig.tistory.com/113 [iOS App 진단] 03강 - 진단 도구 설치 1. Cydia(시디아) - 탈옥을 성공하면 자동으로 설치되며, 앱 스토어에서 지원하지 않는 앱을 다운로드할 수 있다. - iOS가 지원하지 못하는 기능을 Cydia를 이용하여 설치할 수 있는데 이를 Tweak(트윅) hagsig.tistory.com --..

왜냐면... dump.py 존재하는 디렉터리 requirements.txt 설치 안 해줘서 pip install -r requirements.txt --upgrade 결론: 하라는 대로 안 해서 https://ndw29.tistory.com/11 [IOS] Frida-IOS-Dump를 통한 IPA 추출 ■ 환경 구성 - VMware Workstation 15 Pro (Ver. 15.1.0 ) - Kali Linux 64-Bit - 탈옥된 아이폰 6s(64bit) 1. VMware 내 Kali Linux 설치 Kali Linux 설치 링크 : https://www.kali.org/downloads/ - 먼저 설치 링크를 통해 Kali Linux 다운 ndw29.tistory.com

LFI(Local File Inclusion) 취약점 로컬 파임 포함? - 공격할 파일이 원격지에 있다는 의미. - 원격지에 있는 디렉터리로 접근하여 원하는 값을 열어볼 수 있음. - php 코드에서 include() 부분에 적절한 필터링 미존재 시 발생. (include_once(), require(), require_once(), file_get_contents() 모두 가능) - get, post 통하여 include 부분을 건든다면 LFI 고려할 것. $GET['test'] include "pages/$test"; 같은 부분 - 변수명이 query 같은 느낌이 아닌, page, command, file, template, document, foler 등 이런느낌인 경우 LFI 의심해보자 - 또는 ..

주통기_가이드 WEB 보안 항목 4. 운영체제 명령 실행 1) 목적: 적절한 검증절차를 거치지 않은 사용자 입력 값에 의해 의도치않은 시스템 명령어 실행을 방지 2) 위협: 부적절하게 권한 변경, 시스템 동작 및 운영에 악영향 3) 점검 방법 - 에러 페이지, HTTP 응답 헤더에 노출되는 웹 서버 버전 정보 수집 - 운영체제 명령 실행 관련 알려진 취약점 검색 EX) Apache Struts 2 4) 보안설정 - 취약한 버전의 웹서버 및 웹 애플리케이션 서버는 최신 버전으로의 업데이트 - 애플리케이션은 운영체제로부터 명령어를 직접적으로 호출할 수 없도록 구현 - 사용해야 할 경우, 소스코드나 웹 방화벽에서 특수문자 등의 구문 검증하도록 조치 - 위 코드는 취약한 코드. 다음과 같은 페이로드를 통해 os..

LDAP 정의와 그 용도 Lightweight Directory Access Protocol 네트워크 통해서 파일 및 장치와 같은 기타 자원에 대한 데이터를 찾을 수 있도록 하는 소프트웨어 프로토콜. LDAP은 X.500의 일부인 DAP(Directory Access Protocol)의 경량버전임. 일종의 전화번호부. 디렉터리 서비스: 네트워크 내 자원이 있는 위치를 사용자에게 알려주는 서비스. EX) DNS는 도메인 이름을 특정 네트워크 주소와 연결하는데 사용되는 디렉터리 시스템. 사용자가 도메인 이름을 모르는 경우, LDAP을 이용해서 사용자가 위치를 모른 채 검색 가능. LDAP의 용도 - 인증을 위한 중앙 위치 제공 → 사용자 이름과 암호를 저장, 다른 서비스에서 LDAP을 이용해서 로그인 → 회..

모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1 - 크리핵티브 환경세팅 1) Apmsetup 7 2) sql server 2019 - 주의사항: https://so106037.tistory.com/186 APMSETUP - php와 mssql 연동 오류 해결 (undefined function) [ Fatal error: Call to undefined function mssql_connect() in C:\APM_Setup\htdocs\mssql_connect.php on line 3 mssql_connect.php ] 해결 [내 상황] - APMSETUP 7 사용 중 - SQL Server 2019 - mssql php.. so106037.tistory...

[HTTrack] website copier라고 불리운다. 해당 툴을 사용하면 입력한 웹사이트를 그대로 복사하여 내 PC에 폴더-파일을 만들어줌. 그러니까.. 해당 웹 페이지의 모든 리소스(이미지, 페이지 파일, 첨부 파일 등..)를 다운로드하는 것. 폴더 구조까지 그대로 가져오기에 웹사이트 구조를 분석하기에 좋다. 관리자 페이지 찾는 용도로 사용 가능. [DirBuster] HTTrack은 모든 링크를 클릭해서 모든 파일을 다운로드한다면, DirBuster는 패스워드 크래킹하듯 모든 경로를 만들어서 입력해봄. 응답되는 상태 코드를 토대로 웹 페이지의 구조를 가져온다. 숨겨진 페이지 찾기 좋고, 존재하는 페이지만을 가져온다. 실 페이지에 사용 금지 ^__^