목록분류 전체보기 (106)
EYEN
#0. 학습 목표가. 코드 해석을 빠르게 하도록 디바의 코드 한 줄 한 줄이 무슨 의미인지 알기. 나. 나중에 비슷한 코드를 봤을 때 취약점인 줄 알도록 취약점 있는 코드와 취약점 원인인 라인알기, 보호기법이 씌워진 코드와 비교하기#1 문제 분석가. 목적민감정보가 어디에서 어떻게 저장되고 취약한 코드가 어디있는지 알기나. 활용소스코드, adb #2 취약점 정보가. 취약점myuser라는 테이블에 VARCHAR형의 user, passwd라는 이름으로 저장된다는 것을 알 수 있다. 나. 민감정보가 저장되는 곳을 노출하는 게 취약점인 이유공격자가 공격할 SQL쿼리문을 결정할 때 유용하게 쓰임 #3 코드 분석java 코드이다.1.public class InsecureDataStorage2Activity exten..
#1 문제 분석가. 목적민감정보가 어디에 어떻게 저장되고 취약점 코드가 어디에 있는지나. 활용소스코드, adb #2 취약점 정보가. 취약점SharedPreferences에 string형으로 저장된다.약한 암호화, 평문, 접근 권한 이슈 등의 문제로 시스템에 안전하지 못하게 저장되었을 때 발생 나. Insecure Data storage가 취약점인 이유SharedPreference는 시스템 자원에서 쉽게 접근할 수 있다.루팅된 기기에서는 사용자가 시스템의 루트권한을 갖고 있어서 모든 파일 및 디렉토리에 접근할 수 있다. 이때 SharedPreference도 쉽게 열람가능하다스마트폰이 악성코드에 감염돼서 루트권한을 탈취 당한다면 SharedPreferences에 저장된 중요정보가 유출될 수 있다.애플리케이션..
#1 문제 분석가. 목적뭐가 하드코딩되고 어디에 있는지 알기나. 활용소스코드, adb #2 취약점 정보가. 취약점하드코딩된 비밀키=> 소스코드에 대놓고 비밀키 공개됨나. 취약점 확인법소스코드 확인시 암호화되지 않은 키를 확인할 수 있음다. 소스코드에 비밀키가 있는 게 취약점인 이유루팅과 난독화 해제 등을 통해 소스코드를 볼 수 있는 단계까지 가면 바로 권한 획득 가능라. 하드코딩하는 이유 1. 일회성으로 사용되는 값인 경우 ex)for (int i = 0; i public void processInput(String input)//input을 processInput 메서드가 실행되는 동안에만 사용 boolean isTemporary = true;if (isTemporary) {//..
#0. 학습 목표가. 코드 해석을 빠르게 하도록 디바의 코드 한 줄 한 줄이 무슨 의미인지 알기. 나. 나중에 비슷한 코드를 봤을 때 취약점인 줄 알도록 취약점 있는 코드와 취약점 원인인 라인알기, 보호기법이 씌워진 코드와 비교하기#1 문제 분석가. 목적뭐가 어디에서 어떻게 로그되고 있는지 알기나. 활용소스코드, adb #2 취약점 정보가. 원인개발자의 민감 정보 로깅나. 취약점adb logcat 했을 때 사용자가 입력한 credential 정보나 카드 번호나 민감개인정보가 로그로 나올 것이다.다. 로그에 민감정보가 출력되는 게 취약점인 이유1. 네트워크 트래픽을 가로채는 중간자 공격으로 데이터베이스,시스템까지의 권한을 갖지 않아도 민감정보에 접근가능하게 됨.2. 시스템에 대한 액세스를 획득하면 로그 파..
설치 클릭하면 바로 설치가 된다. 그리고 nox를 실행하면 vt 기능을 활성화 시킨 후 실행하라고 한다. bios를 켰는데 virtualization technology가 이미 실행되어 있다. 어쨌든 다시 켜니까 아직 vt기능이 활성화되지 않았다고 한다. 왜!!! 그래서 찾아보니 가상머신이 중첩되면? vt기능이 nox에 제대로 적용될 수 없나보다.hyper-v 관련된거 다 끄란다. 이미 다 꺼져있다ㅠㅠ샌드박스랑 가상머신 플랫폼도 끄라고 한다.난 가상머신 플랫폼만 켜져있어서 끌려고 하니까 필요한 기능 찾기?를 계속 몇십분동안 해서 다른 방법을 찾아보았다. 원래는 VT-x Supported만 체크되어있고 VT-x enabled는 X 표시고 밑에 3개중에 SLAT랑 VM Monitor~는 X였다.SLAT를 검..
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.