[OhBank] WebShell 시나리오 공격
Mobile/OhBankGuide
2023. 5. 22. 14:22
정보수집 파일 다운로드 공격 진행 시 버프스위트로 요청 값을 확인한다. 요청값을 통해 api endpoint는 /api/qna/filedown라는 것과, 파일 다운로드는 GET 방식으로 진행되며 파라미터는 filename 으로 upload/파일이름 형태인 것을 확인할 수 있다. 리피터를 통해 없는 파일을 요청하면 다음과 같은 응답값을 보내준다. 응답값은 암호화가 되어있는 형태이기 때문에 복호화가 필요하다. (**암복호화 참조) https://kgp-studio.tistory.com/26
OhBank 란?
Mobile/OhBankGuide
2023. 5. 15. 13:14
OhBank는 Damn Vulnerable Bank라는 오픈소스를 기반으로 의도적으로 취약하게 만들어진 테스트 앱이다. 이 앱을 통해 안드로이드 어플리케이션과 API서버, (클라우드|로컬)의 취약점을 찾아내고, 그 취약점을 이용해 공격하는 방법을 배울 수 있다. 이 앱을 통해 배울 수 있는 취약점 목록은 다음과 같다. 딥링크 취약점 Activity 설정 취약점 파일 다운로드 취약점 파일 업로드 취약점 하드코딩된 민감정보 취약점 SQL 인젝션 취약점 민감 정보 노출 취약점 웹뷰 취약점 다운로드 : 깃허브 링크 https://github.com/sidereumare/OhBANK GitHub - sidereumare/OhBANK Contribute to sidereumare/OhBANK development ..