본문 바로가기

분류 전체보기62

[HTB]Hack The Box - Love :: Write up Hack the box 라는 재밌는 워게임 사이트를 발견해서, 몇개를 풀어보려고 합니다. 해당 사이트는 가상 머신에 접속해 ip만 주어지고 실제 침투처럼 정보수집부터 취약점 탐색 익스플로잇까지 스스로 이루어낸 다음, 쉘과 루트 권한까지 취득하여 플래그를 가져오는 형식입니다. 모의해킹을 하는 사람들에게 굉장히 재밌을 것 같습니다. 사이트 주소 : https://www.hackthebox.eu/ Hacking Training For The Best From beginners to experts, this is where hackers level up! Join today and learn how to hack. www.hackthebox.eu 오늘은 그중에 love 라는 easy 난이도의 box를 풀어보겠습.. 2021. 9. 1.
안드로이드 취약점 진단 자동화 도구 - QARK(Quick Android Review Kit) 사용법 QARK는 데프콘 23 USA 2015라는 이름으로 발표되면서 주목받은 오픈소스 안드로이드 앱 취약점 진단 프레임워크입니다. QARK는 기존의 상요도구들과 같이 간편하게 앱에 대한 자동화 진단을 제공합니다. QARK는 apk파일에서 자바클래스파일까지의 디컴파일 과정 사이사이에 추출한 코드를 파서(Parser)를 이용해 정적 분석을 수행하는 도구 입니다. 다운로드 링크 - https://github.com/linkedin/qark GitHub - linkedin/qark: Tool to look for several security related Android application vulnerabilities Tool to look for several security related Android appl.. 2021. 8. 20.
앱 취약점 - < 인자 전달값 조작 > 분석 취약점 개요 사용자가 안드로이드 애플리케이션을 사용하기 위해 상호 간 데이터 통신을 합니다. 이때 사용자의 입력값이 들어가는 부분이 굉장히 많은데, 입력되는 파라미터값이 보호되지 않으면 공격자가 해당 파라미터를 수정해 악용할 경우 해킹 피해가 발생할 수 있습니다. 취약점 분석 인시큐어뱅크 로그인 후 Transfer 버튼을 눌러 계좌송금을 하는 부분입니다. 해당 송금을 클릭하면 왼쪽 그림과 같이 프록시에 다양한 개인정보가 평문으로 잡혀있습니다. 공격자는 이를 이용해 사용자는 555원을 송금하려고 클릭했지만, 중간에 패킷을 가로채 amount 파라미터를 100000으로 조작했습니다. Foward 를 누르면, 해당 Tranfer 기능이 실행되면서 amount 가 100000으로 실행된 것을 볼 수 있습니다. .. 2021. 8. 19.
앱 취약점 - < 안전하지 않은 HTTP 통신 > 분석 취약점 개요 HTTP 프로토콜은 설계를 할 때 보안을 고려하지 않고 설계하기 때문에 데이터 통신을 하는 과정에서 정보 전송 시 평문이 노출됩니다. 공격자는 스니핑/스푸핑 공격을 이용하여 사용자들의 입력값을 탈취할 수 있습니다. 중요 정보는 SSL/TLS 통신을 적용하여 암호화된 데이터로 안전하게 보내야 합니다. 취약한 HTTP를 이용한 데이터 전송은 OWASP Mobile TOP 10의 M3: Insufficient Transport Layer Protection 에 해당하는 취약점으로, 안드로이드 애플리케이션 간 통신 시 중요 정보를 평문으로 전송할 때 발생합니다. 취약점 분석 해당 취약점은 Burp Suite Tool을 사용하여 패킷을 프록시로 잡아 분석해보겠습니다. 프록시서버에 연결 후 인시큐어뱅크.. 2021. 8. 19.