[Nox] 안드로이드 버프 인증서 설치(Android 7.0+)

[Nox] 안드로이드 버프 인증서 설치(Android 7.0+)

1. Nox 안드로이드 모의해킹에서 녹스는 앱의 에뮬레이팅을 통한 동적 분석, 루트(Root)권한 설정 및 해제가 용이하여 자주 활용한다. 다만 에뮬레이터 환경에서 동작하는 만큼 에뮬레이터 탐지가 적용된 앱의 경우 실행이 어렵다는 단점이 있다. 하지만 진단기기 준비의 어려움 물리적으로 다른 기기에서의 교차진단이 필요할 경우 사용할 수 있는 대안이 될 수 있다. 2. 환경 녹스(Nox) 플레이어 7.0.2.1(설치 : kr.bignox.com/) Burp Suite(Community Edition 2022.5.1) 3. 권장 설정(옵션) 필수 설정은 아니지만 모의해킹 수행을 위한 Nox 설정을 안내한다. (필수) 시스템 설정 > 일반 > 시작항목 > ROOT켜기 (옵션) 시스템 설정 > 성능 > 그래픽 모..

  • format_list_bulleted Security/Mobile
  • · 2022. 3. 31.
  • textsms
[Pentest] 배너 그래빙(Banner Grabbing) 도구

[Pentest] 배너 그래빙(Banner Grabbing) 도구

배너 그래빙(Banner Grabbing) 대상 서버나 시스템의 운영체제를 탐지하기 위한 기술에 대해 설명한다. 배너그래빙은 서버로부터 서비스 또는 애플리케이션 정보, 운영체제 정보를 수집한다. 애플리케이션 버전 탐지 등에 활용된다. 대상과 직접 네트워크 연결을 맺어서 운영체제 정보나 서비스 및 애플리케이션 정보를 담고 있는 배너를 받아오는 방법이다. 배너에서 필요한 부분만을 파싱한 결과에 관련 정보가 담겨있는 경우, 간단하게 버전을 확인할 수 있다. 배너그래빙은 포트에서 실행 중인 운영 체제 정보 및 서비스를 해당 버전을 획득하기 위한 작업이다. 실행 중인 서비스의 버전이 취약하고 모든 사용자가 볼 수 있는 경우 공격자가 원격 호스트 시스템 전체를 처리할 수 있기 때문에 원격 호스트 시스템에 침투할 수..

  • format_list_bulleted Security/WEB
  • · 2022. 3. 28.
  • textsms
[모의해킹 실습] 정보누출 취약 페이지 구현 및 공격 실습

[모의해킹 실습] 정보누출 취약 페이지 구현 및 공격 실습

정보누출 정보 누출 취약점은 웹 애플리케이션에 데이터가 노출되는 것으로 개발 과정의 주석이나 오류 메시지 등에서 중요한 정보가 노출되어 2차 공격을 하기 위한 정보를 제공하는 취약점 또는 법적 근거에 의해 패치되어야 하는 취약점입니다. 개인 정보 노출, 에러 정보 노출, 서버 절대경로 노출, 관리자 페이지 노출 등이 정보 노출에 해당됩니다. No 실습 위치 비고 1 http://localhost/phpmyadmin php 관리자 페이지 2 http://localhost/home.php 메인 페이지 Case1. php 관리자 페이지 노출 Step1. 기본 관리자 페이지 문자열(phpMyAdmin, mydbadmin 등)을 시도하여 도메인에 접속합니다. Case2. 메인페이지 파일 확장자 노출 Step1. ..

  • format_list_bulleted Security/WEB
  • · 2021. 8. 2.
  • textsms
[모의해킹 실습] 불충분한 인가 페이지 구현 및 공격 실습

[모의해킹 실습] 불충분한 인가 페이지 구현 및 공격 실습

불충분한 인가 중요 기능 또는 데이터에 접근 시 사용자 권한에 따른 접근 통제를 두지 않은 취약점입니다. 접근 권한에 대한 인증 프로세스 및 올바른 접근 통제 로직이 구현되지 않아 다른 사용자의 민감한 정보나 인가되지 않은 페이지에 접근할 수 있습니다. 1. 공격 실습 No. 실습 위치 비고 1 http://localhost/freeboard/index 게시판 목록 기능 2. 게시판 php 코드 My Website Home Profile Logout 자유게시판 버그및건의 자유게시판

  • format_list_bulleted Security/WEB
  • · 2021. 7. 31.
  • textsms
[모의해킹 실습] 불충분한 인증 페이지 구현 및 공격 실습

[모의해킹 실습] 불충분한 인증 페이지 구현 및 공격 실습

불충분한 인증 불충분한 인가 취약점은 중요 정보를 다루는 페이지에 대한 인증 절차가 미흡할 경우 발생하는 취약점입니다. 인증 기능(로그인, 중요 페이지에 대한 추가 인증)은 구형하였으나 추측 가능한 패스워드, 취약한 인증 프로세스로 구현되어 우회하거나 무력화하여 접근할 수 있습니다. 1. 공격 실습 No. 실습 위치 비고 1 http://localhost/profile_update 회원정보 수정 기능 2. php 코드 My Website Home Profile Logout 자유게시판 버그및건의 내 정보

  • format_list_bulleted Security/WEB
  • · 2021. 7. 27.
  • textsms
[모의해킹 실습] 자동화공격 취약 페이지 구현 및 공격 실습

[모의해킹 실습] 자동화공격 취약 페이지 구현 및 공격 실습

자동화공격 자동화 공격이란 웹 애플리케이션의 정해진 프로세스에 자동화된 공격을 수행함으로써 자동으로 수많은 프로세스가 진행되는 취약점입니다. 이는 DoS(Denial of Service), 무차별 대입 기법(Brute-Forcing), 데이터베이스 과부하와 같은 피해를 일으킬 수 있습니다. 1. 공격 원리 자동화 공격은 다량의 요청이 시도될 때 검증과 적절한 대안 방안을 구축하지 않았기 때문에 발생하는 취약점입니다. 자동화 공격을 방지하기 위해서는 데이터 등록 시 일회성이 될 수 있는 별도의 토큰 사용, captcha 사용, IDS/IPS에서의 탐지 규칙 추가 등이 있습니다. 2. php 코드 Login Login Register 계정정보를 입력해주세요 3. 공격 실습 No. 실습 위치 비고 1 http..

  • format_list_bulleted Security/WEB
  • · 2021. 7. 24.
  • textsms