분류 전체보기 (161) 썸네일형 리스트형 sql injection 자동화도구 N3015M 사용법 소개할 sql injection자동화 도구는 다음과 같다. https://n3015m.tistory.com/10 실제 진단할 때 알려주셔서 간단한 쿼리문으로 테스트를 진행했다. 내가 진단했던 것은 정말 게시판에 있는 검색조회부분이었다. 검색어 조회시 상세 url이 제대로 보이지 않아서 burp로 잡은 후 url를 확인하고 information url 부분에 입력한다. 딱 search.jsp 까지만 입력했던 것 같다. 1. DB 선택 : 미리 사전에 진단했을 때 postgresql를 알고 있었는데 아쉽게도 선택지에 없었다. 그래도 문법이 유사한 oracle로 진행했다. 2. post 체크박스가 있는데, post로 체크하면 POST방식으로 전송 / 체크 안하면 get 방식으로 날라간다. 3. AND 로 공격.. 안드로이드 모바일 모의해킹 진단 기초 안드로이드 모바일 진단 도구 리스트 - APK manager : decompile - smali 변조 - compile - sign apk - install apk 이 일련의 과정을 수행하기 위한 packing 도구 - JEB : 사용자가 보기 편하게 decompile 후 구조화 및 java 코드로 보여주는 도구 (IOS에서 IDA같은.. 그러나 IDA보다 뒤떨어지는..) - Frida : 메모리 dump 뜨는 도구 fridump 덤프 뜰 때는 루팅된 폰으로 진행 계속 timeout 이 뜰 수 있는데, 이럴 때는 다시 종료하고 앱을 재실행한다. dump 뜰 때는 앱이 실행중인 상태에서 메모리를 dump뜨는 것이므로 앱이 메모리 위에 올라가야 한다 = 실행 중 그외에도 정적 분석 - ADB : 안드로이드 .. IDA 에서 자주 쓰는 단축키 내가 보려고 정리하는... string 검색 : shift + F12 code graph view 전환해서 보기 : space바 선택한 함수 이전 부모함수 타고타고 올라갈 때 유용한 키 : x 내가 이전에 봤던 거 다시 돌아가기 : ESC 단축키는 아니지만 해당 hex 위치 보려고 할 때 드래그 해서 선택 후 hex view로 자동 동기화되어있음 (안될 경우, 오른쪽 마우스 보면 hex synchronize 어쩌구 설정해주기 IOS 모의해킹 첫 단계.. IOS 모의해킹을 처음 시작하는 사람들에게 도움이 되길.. (나중에 나도 도움이 되길..) 모의해킹 핵심 3가지 1. 탈옥 우회 2. 무결성 탐지 우회 3. 메모리 덤프 파일 분석 다음부터는 일반적인 IOS 취약점 진단 프로세스 소개 1 ) craker로 소스코드를 획득한 .IPA 파일(안드로이드 .apk) 추출이 제일 먼저다. 구체적인 방식은 아래 링크와 동일하다. https://parkjhp.tistory.com/12 ios 앱 복호화 CrackerXI (IPA 파일 추출) App store에 올라간 앱들은 서명 및 암호화가 되어있습니다. 따라서 ios에서 앱을 정적으로 분석하려면 앱을 복호화시킬 툴이 필요합니다. 기존 ios 11이전 버전에선 clutch를 사용했지만 11 이상 상위 parkjhp... xp_cmdshell 에 대하여.. xp_cmdshell이란? mssql과 관련된 것으로, mssql에서 운영체제 명령어(주로 윈도우)를 실행할 수 있도록 하는 함수 mssql db를 사용하는 페이지 내에 입력할 수 있는 곳 어딘가에 SQL injection이 성공할 경우 (쿼리가 터질경우) xp_cmdshell을 이용해서 시스템 명령어를 수행할 수 있다는 것이다. 단, xp_cmdshell을 활성화해야 한다!!! value Column = 1 (활성화) 0 (비활성화) ms-sql 서버에서 윈도우 명령어를 사용하고 싶을 때 xp_cmdshell을 쓰는데, 이를 활성화해두면 악용가능성 존재. 확장하면, 이 취약점을 이용하여 net user 해서 접근권한이 있는 사용자 생성도 가능해짐!!! 출처 https://taesun1114.tistor.. CLS benchmark cls 벤치마크 https://aws.amazon.com/ko/what-is/cis-benchmarks/ CIS 벤치마크란 무엇인가요? CIS 벤치마크 설명 - AWS 각 CIS 벤치마크에는 권장 사항에 대한 설명, 권장 사항의 이유 및 시스템 관리자가 권장 사항을 올바르게 구현하기 위해 따를 수 있는 지침이 포함되어 있습니다. 각 벤치마크는 대상 IT 시스템 aws.amazon.com aws에서 제공하는 벤치마크 설명은 document에 잘 나와있다. cls란? 세계적으로 인정받는 일련의 합의 기반 모범 사례로, 보안 전문가가 사이버 보안 방어를 구현하고 관리하도록 지원합니다. 단지, 모범사례일뿐 얼마든지 응용가능하다. document안에 어떠한 리소스를 점검하는지도 상세히 잘 나와있다. 다음은 오픈소.. 클라우드 flowchart 제작 링크 https://app.diagrams.net/ Flowchart Maker & Online Diagram Software Flowchart Maker and Online Diagram Software draw.io is free online diagram software. You can use it as a flowchart maker, network diagram software, to create UML online, as an ER diagram tool, to design database schema, to build BPMN online, as a circuit d app.diagrams.net 클라우드 flowchart 제작 링크 CSAP 제도 보호되어 있는 글입니다. 이전 1 ··· 9 10 11 12 13 14 15 ··· 21 다음
