IOS 탈옥이란? 안드로이드에선 루팅과 같은 의미이며, IOS의 제한을 풀어 사용자의 루트에 접근할 수 있게 함으로써 타 회사에서 사용하는 서명되지 않은 코드를 실행할 수 있게 하는 과정을 말한다. 사용해 보았을 때 트윅에 대한 호환성이 좋지 않거나 정상 동작을 하지 않는 경우가 있어 가장 호환성이 좋다고 생각하는 Odysseyn1x를 사용하려고 한다. 또한 Ventoy는 여러 부팅 이미지를 넣어두고 선택해서 로드할 수 있는 기능을 가진 도구이다. 다른 도구들에 비해 간편하다고 생각하여 사용하게 되었다. 필요한 준비물 1.Odysseyn1x https://github.com/raspberryenvoie/odysseyn1x/releases Releases · raspberryenvoie/odysseyn1x..

현재 최신 단말기에서는 apk파일을 사용하여 Magisk를 설치하지만 헬조선 Magisk는 현재 21버전까지 나와있다 따라서 21버전으로 낮춰 주어야 하며 24버전 이상으로 진행했을때는 알지못할 오류가 발생하여 23버전으로 진행했다. 헬조선 Magisk를 설치하기 위해 필요한 준비물은 다음과 같다. 1. Magisk 21버전과 버전에 맞는 MagiskManager(작성자는 8.0.1을 사용하였다.) https://github.com/topjohnwu/Magisk/releases?page=2 Releases · topjohnwu/Magisk The Magic Mask for Android. Contribute to topjohnwu/Magisk development by creating an account..

안드로이드 해킹을 시작하기 위해선 관리자(root) 권한을 획득해야 하는데 이것을 루팅이라고 한다. 작성자는 A30기기를 루팅하였다. 안드로이드 루팅에선 대표적인 도구는 2가지로 Twrp와 Magisk가 존재하는데 두가지를 모두 사용할 수 있지만 작성자는 Magisk를 사용하여 루팅을 진행하였다. 루팅을 하기위해 필요한 준비물은 다음과 같다. (** 루팅을 하게되면 데이터가 모두 삭제되므로 모든 데이터는 백업해두어야 한다.) 1. Magisk https://github.com/topjohnwu/Magisk/releases Releases · topjohnwu/Magisk The Magic Mask for Android. Contribute to topjohnwu/Magisk development by c..

OhBank는 Damn Vulnerable Bank라는 오픈소스를 기반으로 의도적으로 취약하게 만들어진 테스트 앱이다. 이 앱을 통해 안드로이드 어플리케이션과 API서버, (클라우드|로컬)의 취약점을 찾아내고, 그 취약점을 이용해 공격하는 방법을 배울 수 있다. 이 앱을 통해 배울 수 있는 취약점 목록은 다음과 같다. 딥링크 취약점 Activity 설정 취약점 파일 다운로드 취약점 파일 업로드 취약점 하드코딩된 민감정보 취약점 SQL 인젝션 취약점 민감 정보 노출 취약점 웹뷰 취약점 다운로드 : 깃허브 링크 https://github.com/sidereumare/OhBANK GitHub - sidereumare/OhBANK Contribute to sidereumare/OhBANK development ..

개요 공격자가 삽입 또는 제공한 악의적인 스크립트가 사용자의 브라우저에서 실행되는 취약점 원인 악의적인 스크립트 코드가 삽입된 입력값을 서버가 적절한 검증절차 없이 반환 하는 것 Reflected XSS (반사형 크로스사이트 스크립팅) 공격자가 악의적인 스크립트가 포함된 url을 메신저, 메일 등을 이용하여 사용자에게 노출시키고 이 url에 사용자가 접근 할 경우 스크립트가 실행되어 피해를 발생시킴 //매개변수 중 필터링이 되지 않는 부분 탐색 GET /exam16/notice.php?pageIndex=pagetestxss/&board_id=board_idxss/&sorting=sortingxss/&sotingAd=DESC&startDt=&endDt=&searchType=&keyword= //공격코드 "/>

SQL Injection Union, Error Based, Blind SQL Injection 예제와 시나리오 JSP, ORACLE 기준 의도하지 않는 쿼리 삽입 하여 악의적인 SQL 문을 실행시키는 공격 Oracle ⇒ user_tab, all_table 테이블 정보 칼럼 정보 SQL (Structured Query Language) 데이터베이스 관리용 언어 DDL, DCL, DML로 구분 DDL (데이터 정의어) 스키마,, 테이블, 인덱스등 정의, 변경, 삭제할 때 사용 CREATE, ALTER, DROP… DCL (데이터 제어어) 데이터 대한 접근 권한 부여 등 관리 목적으로 사용 COMMIT, ROLLBACK, GRANT, REVOKE DML 데이터 조작어 DB에 저장된 데이터를 실질적으로 처리..