[OAuth] 인증/디바이스 토큰 탈취 취약점 다시 보기

공격자 관점과 취약점 진단 관점에서 다시 보기 Summary최근 OAuth 계열 공격은 더 이상 단순한 계정 탈취 문제로 보기 어렵다.실제 공격자의 목표는 아이디·비밀번호 자체보다, 사용자 동의와 권한 위임 구조를 이용해 장기적인 API 접근권한을 확보하는 것에 가깝다. 그래서 방어도 인증 강도만 높인다고 해결되지 않으며, 결국 핵심은 누가 어떤 애플리케이션에 어떤 범위의 권한을 넘겼는지 검증하고 통제하는 체계에 있다. 1. 반복되는 주제, 하지만 다시 보게 된 배경 취약점 진단 업무를 하다 보면, 한동안은 인증 우회나 세션 하이재킹처럼 비교적 익숙한 공격 시나리오에 시선이 머무르기 쉽습니다. 저 역시 실무 초반에는 “계정을 직접 탈취가능한가”, “로그인 계정의 식별이 가능한가” 같은 포인트에 집중하는 ..

  • format_list_bulleted Security/WEB
  • · 2026. 3. 12.
  • textsms

Android 12 단말에 Burp CA 인증서 등록하기 (Magisk 모듈 방식)

1. 개요안드로이드 앱 모의해킹에서 HTTPS 트래픽 분석은 기본 중의 기본이다. Burp Suite를 프록시로 구성하고 단말의 네트워크 트래픽을 가로채기 위해서는 Burp의 CA 인증서를 단말이 신뢰하도록 등록해야 한다.Android 7(Nougat) 이후부터 앱은 기본적으로 사용자가 직접 설치한 인증서(User CA)를 신뢰하지 않는다. 네트워크 보안 설정(network_security_config)으로 명시적으로 허용하지 않는 한, 사용자 인증서로는 HTTPS 트래픽 복호화가 불가능하다. 따라서 인증서를 시스템 인증서(System CA) 로 등록해야 한다.Android 12 + Magisk 루팅 환경에서 시스템 인증서 등록을 시도했고, 흔히 알려진 tmpfs 마운트 방식이 동작하지 않아 Magisk..

  • format_list_bulleted Security/└ 안드로이드 취약점 진단
  • · 2026. 2. 24.
  • textsms
[Frida android] 17.6.0 계측 구조 변경 - ptrace에서 proc/mem 기반으로

[Frida android] 17.6.0 계측 구조 변경 - ptrace에서 proc/mem 기반으로

1. 개요Frida 17.6.0(2026.01.18)부터 Android 동적 분석의 핵심 메커니즘이 근본적으로 변경되었다. 기존 ptrace/child-gating 기반 Zygote 주입 방식에서 /proc/$pid/mem 기반의 경량 외부 패칭(Zymbiote) 방식으로 전환되었다. 이후 17.6.1~17.6.2, 17.7.0~17.7.3 까지 빠른 연속 릴리즈로 안정화 작업이 진행 중이다.앱 취약점 진단에서 Frida는 사실상 필수 도구이다. 이번 변경은 내부 동작 방식의 전면 교체이므로, ptrace 기반 탐지 우회나 Magisk 충돌 등 기존에 겪던 문제들의 원인과 해결 여부가 달라진다. 변경사항을 정리한다. 2. 기존 방식: ptrace + child-gating 기반 Zygote 주입2.1 Z..

  • format_list_bulleted Security/└ 안드로이드 취약점 진단
  • · 2026. 2. 20.
  • textsms

Claude에게 '초능력'을 부여하는 방법: Superpowers 플러그인 소개

1. 들어가며AI 코딩 어시스턴트를 사용하다 보면 반복적으로 겪는 문제가 있다. 테스트 코드를 먼저 작성하라고 해도 바로 구현부터 작성한다거나, 디버깅할 때 체계 없이 이것저것 시도하다가 문제를 놓친다거나, 프로젝트가 조금만 커져도 맥락을 잃어버린다거나. 결국 "AI가 좋긴 한데, 사람이 계속 감시하고 있어야 해"라는 결론에 이르게 된다.Claude Code를 사용하면서도 비슷한 경험을 했다. 분명 코드를 잘 작성하는데, 내가 원하는 방식으로 작성하지는 않았다. 매번 "TDD로 해줘", "테스트부터 작성해줘"라고 요청해야 했고, 그마저도 잊어버리기 일쑤였다.그러다 Claude Superpowers라는 플러그인을 발견했다. 이 플러그인은 단순한 기능 추가가 아니라, Claude에게 "개발 프로세스"를 가르..

  • format_list_bulleted Side Project/AI Powered
  • · 2026. 2. 9.
  • textsms

[OpenClaw] 운영에서의 보안상 유의사항

1. 들어가며OpenClaw는 대화형 AI가 가졌던 기존의 한계—즉, 말만 하고 직접 수행하지 못했던 영역—를 넘어 설 실제 명령 실행, 파일 접근, 브라우저 제어까지 가능하게 하는 기술이다. 이는 AI 에이전트의 활용 범위를 크게 확장하는 동시에, 많은 권한을 한 시스템에 부여한다는 뜻이기도 하다.이 글은 OpenClaw 운영 시 고려해야 할 보안상 유의사항과, 공식 문서에서 제공하는 보안 점검 방법을 정리한 것이다.2. 권한과 파급력OpenClaw 에이전트는 다음과 같은 능력을 가질 수 있다.셸 명령 실행 (exec, process)파일 읽기/쓰기 (read, write, apply_patch)브라우저 제어, 웹 검색Anthropic, OpenAI, Telegram, Slack, Discord 등 A..

  • format_list_bulleted Side Project/AI Powered
  • · 2026. 2. 1.
  • textsms

[OpenClaw] mcporter에 Google Calendar MCP 등록하기

1. 들어가며OpenClaw 에이전트가 Google Calendar를 조회·관리하려면 MCP(Model Context Protocol) 서버를 연동해야 한다. OpenClaw는 MCP를 직접 지원하지 않으며, mcporter CLI를 통해 MCP 도구를 호출한다. 이 글은 mcporter에 Google Calendar MCP 서버(@cocal/google-calendar-mcp)를 등록하는 방법과, 설정 시 자주 놓치기 쉬운 토큰 파일 경로를 정리한 것이다.2. 사전 요구사항항목설명OpenClaw설치 및 기본 설정 완료mcporternpm install -g mcporter 또는 openclaw skills install @clawdbot/mcporterGCP OAuthGoogle Cloud Consol..

  • format_list_bulleted Side Project/AI Powered
  • · 2026. 2. 1.
  • textsms