KGPstudio
article thumbnail
ISMS-P 인증제도
인증 2023. 8. 9. 13:42

융합화 고도화되고 있는 침해위협에 효과적인 대응 위해 정보보호와 개인정보보호의 연계 필요 심사항목이 유사하고 개별운영에 따른 기업의 혼란 및 재정, 인력상 부담 최소화 ISMS, PIMS 인증제도를 통합함 ISMS : 정보보호 관리체계 인증(기업·기관의 정보보호 체계에 대한 인증) ISMS-P : 정보보호 및 개인정보보호 관리체계 인증(기업·기관의 정보보호 체계와 개인정보 보호 영역을 모두 인증) 인증 기대효과 1. 신뢰성과 이미지 향상 2. 비즈니스 안전성 제고 3. 법적 준거성 확보 인증 대상 의무 대상자 ISP : 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 IDC : 집적정보통신 시설 사업자 병원 학교 : 1500억원 이상 정보통신 서비스 제공자 : 100억이상, 100만명 이상

XSS 의 대응방안
WEB 2023. 8. 3. 10:57

XSS의 대응방안으로는 클라이언트와 서버가 통신하는 과정에서 필요한 파라미터, 즉 외부로부터의 입력 값에 대한 검증을 통해 헤더, 쿠키, 질의 문, 폼 필드, Hidden 필드 등과 같은 모든 입력 필드에 특정 공격 문자열에 대한 필터링 처리를 한다. 다음과 같이 왼쪽 필드의 입력 데이터를 오른쪽 필드의 데이터로 변환해서 필터링 한다. 변경 전 변경 후 변경 전 변경 후 >; & &; ( ( " " ) ) ' ' 필터링 조치 대상 테크 및 문자열 Javascript vbscript expression document.cookie document.location document.write location.href onabort Onclick ondbclick ondragdrop onerror Onf..

article thumbnail
[OhBank] 모바일 딥링크 (피싱 사이트 유도)
Mobile/OhBankGuide 2023. 5. 26. 10:21

모바일 딥링크 - 모바일 어플리케이션의 특정 페이지에 도달 할 수 있는 링크를 말하는 것 , 특정 웹 페이지를 공유할 때 자주 사용하는 웹 URL(예를 들어, http://map.naver.com/local/siteview.nhn?code=19585783) 처럼, 모바일에 어플리케이션에도 특정 페이지에 들어갈 수 있는 링크가 있는 것 앱을 분석(Jadx) 하였을 때 androidmanifest.xml 분석 결과 딥링크 부분으로 http, https 프로토콜의 xe.com 으로 연결 설정 확인 파라메터 url 값으로 들어오는 값을 웹뷰로 열어 주는 코드를 확인 공격 시나리오 - 공격자가 피싱 서버 오픈 하여 short url을 이용하여 정보 탈취 short url 변환 피싱 사이트 유도 사용자가 피싱 사이..

article thumbnail
[OhBank] WebShell 시나리오 공격(클라우드)
Mobile/OhBankGuide 2023. 5. 26. 09:55

준비물 1. ngrok 다운로드 - NAT을 넘어 외부에서 로컬에 접속 가능하게 하는 터널 프로그램 https://ngrok.com/ ngrok - Online in One Line Zero Trust Add SSO, Mutual TLS, IP Policy, and webhook signature verification. ngrok.com 2. CloudFormation을 사용하여 클라우드 환경 구축(AWS) https://kgp-studio.tistory.com/28 [OhBank] WebShell 시나리오 공격 정보수집 파일 다운로드 공격 진행 시 버프스위트로 요청 값을 확인한다. 요청값을 통해 api endpoint는 /api/qna/filedown라는 것과, 파일 다운로드는 GET 방식으로 진행되..

article thumbnail
[OhBank] WebShell 시나리오 공격
Mobile/OhBankGuide 2023. 5. 22. 14:22

정보수집 파일 다운로드 공격 진행 시 버프스위트로 요청 값을 확인한다. 요청값을 통해 api endpoint는 /api/qna/filedown라는 것과, 파일 다운로드는 GET 방식으로 진행되며 파라미터는 filename 으로 upload/파일이름 형태인 것을 확인할 수 있다. 리피터를 통해 없는 파일을 요청하면 다음과 같은 응답값을 보내준다. 응답값은 암호화가 되어있는 형태이기 때문에 복호화가 필요하다. (**암복호화 참조) https://kgp-studio.tistory.com/26

[OhBank] 루팅(Rooting) 탐지 우회
Mobile/OhBankGuide 2023. 5. 22. 14:12

루팅 우회 1. 루팅이란 ? 루팅은 쉽게 말해 시스템 최고 권한(root)을 얻는 것이다. 안드로이드에서는 안정적인 기기의 동작을 보장하기 위해 루트 권한은 일반적인 사용자가 접근하지 못하도록 되어 있다. 시스템 내부 저장소 접근, 권한 변경 등 많은 작업을 수행할 수 있기 때문이다. 하지만 Frida를 이용한 후킹을 위해서는 루팅된 시스템이 필요하며, 이때 루팅 탐지 기법이 적용된 애플리케이션은 동작이 어려울 수 있다. 2. 공격 방법 루팅된 폰으로 앱 실행 시 루팅을 탐지하여 앱이 종료된다. jadx이용하여 apk 파일을 분석하면 루팅을 탐지하여 boolean형으로 값을 반환하는 함수를 확인할 수 있다. 후킹을 통해 false를 반환하도록 하면 루팅 탐지를 우회할 수 있다. 추가로 fridaCheck..

반응형
123456

티스토리툴바