분류 전체보기
[1] 소스코드 분석-Try-Catch 예외처리
[1] 소스코드 분석-Try-Catch 예외처리
2025.01.07- 2025.01.07 - } catch (Exception e) { System.err.print(e.getMessage()); }안전하지 않는 예외처리 디버그 코드 예외 발생 시 getMessage()를 이용한 오류 메세지를 통해 오류와 관련된 시스템 정보 등 민감한 정보가 유출될 수 있다.이때, 사용하는 호출코드에 따라 세부내역의 정도가 다른데getMessage 순서 이며 각각의 설명은 아래와 같다.1. e.getMessage() 역할예외 객체에 설정된 메시지(상세 메시지, detail message)를 String 형태로 반환합니다.출력 예시try { // 어떤 예외가 발생} catch (Exception e) { System.out.println(e.getMessage());} ..
WEB 취약점진단시 업무 스케쥴링
WEB 취약점진단시 업무 스케쥴링
2024.12.23- 2024.12.23 - [노잼 간단한 이야기]회사에 일을 하다보니 개인 정기 업무 말고도 수도 없이 많은 업무들이 몰아친다.나 같은 신입급은 1개 2개 정도의 업무라면 (한손바닥 정도의 개수) 잘 관리 할 수 있을지 모르지만 3,4개 정도를 가지고 일을 하다가 지난번에 했던 이행진단 요청등이 몰려오면자연스럽게 6,7개의 업무가 추가가 된다.물론, 당일에 해야하는 업무는 아닌것들도 몇몇개 있다. 이경우 우선순위를 정해서 가장 급한것들을 선별해 처리하면 되는 일인데이게 참 여러개 일이 합쳐지고 쌓이다보면 쫌쫌따리 늘어나지가 않는다. 지난주만 해도 그런게 분명 3,4개의 업무로 내 뇌는 풀로드 상태였는데연달아 이행과 추가 확인 요청, 혹은 회신했는데 담당자가 내 자산아니오~ 하는 경우가 있었다.이렇게 되면..
CVSS 3.1 Calculate 및 각 명칭 별 설명
CVSS 3.1 Calculate 및 각 명칭 별 설명
2024.12.23-2024.12.23-https://itschool-info-lab.github.io/cvss/ CVSS v3.1 Base Score CalculatorEasy to use illustrated graphical Common Vulnerability Scoring System (CVSS) Base Score Calculator with hintsitschool-info-lab.github.ioCVSS 기반의 점수 반영 표이다.최근에 사내에서 이걸 기준으로 다시 점수를 보고 있는데 각각의 항목이 뭘 의미하는건지 아직 어색해서조금 알아보고 난 뒤 덧붙여본다. 원래는 영어인데 한국어로 번역을 해주신 블로거분이 계신다.출처는 아래에서..!https://info-lab.tistory.com/278 [CVSS] C..
F12 개발자 도구 실행 파일
F12 개발자 도구 실행 파일
2024.11.22-2024.11.22- 웹 취약점진단을 하다 보면 F12를 이용한개발자도구를 쏠쏠히 쓰기도 한다.뭐 거의 붙어있듯 쓰기도 하는데 F12를 눌러서 뷰잉 창과 같이 보는 방법도 있으나 별도의 실행파일을 이용하여 실행파일로써 브라우저를 선택하여 보는 방법도 있다. 경로C:\Windows\SysWOW64\F12 파일명IEChooser.exe 하나 시작줄에 고정해놓고 쓰면창을 분리해서 쓸 수 있어서 좋다. 쏠쏠함!
[AOS]4. ADB 연결 및 셋팅하기
[AOS]4. ADB 연결 및 셋팅하기
2024.09.29- 2024.09.29 -뭔갈 하다보면 늦기도 하다.오늘처럼 ㅎ; ADB 정의 및 설치ADB(Android Debug Bridge) ADB는 기기와 통신할 수 있도록 지우너하는 다목적 명령줄 도구이다.디바이스에서 다양한 명령어를 실행하는데 사용할 수 있는 Shell을 제공하고이를 통해 디바이스 내 터미널에 접근하여 데이터를 전송할 수 있다. ADB 설치하기ADB 설치 바로가기 링크https://developer.android.com/tools/releases/platform-tools?hl=ko SDK 플랫폼 도구 출시 노트 | Android Studio | Android DevelopersAndroid SDK 플랫폼 도구는 Android SDK의 구성요소입니다.developer.android.c..
[AOS] 3. 모바일 진단 환경 구축 - InsecureBankv2 추출 및 리패키징. 하드코딩 확인하기(실습)
[AOS] 3. 모바일 진단 환경 구축 - InsecureBankv2 추출 및 리패키징. 하드코딩 확인하기(실습)
2024.09.03- 2024.09.03 -더보기이전 이야기1강https://eagerprotector.tistory.com/64 [AOS] 1. 모바일 진단 환경 구축 - Nox,Anaconda 설치 및 환경 세팅- 2024.09.01 - 이번에는 모바일 진단을 하면서 배웠던가상환경 세팅 등 과정을 정리해보고자 한다.모바일 취약점 진단을 진행할 수 있는테스트 어플'INSECUREBANK'와 'DIVA'를 다뤄본다 Nox 설치 및 환eagerprotector.tistory.com2강https://eagerprotector.tistory.com/65 InsecureBankv2 추출 및 리패키징STEP 1APK 파일 추출 Nox에서 apk파일을 추출할 수 있는 방법은 크게 두가지 이다.1. 외부 앱을 이용해 apk 파일을 ..
[AOS] 2. 모바일 진단 환경 구축 - DIVA, InsecureBankv2 앱 설치
[AOS] 2. 모바일 진단 환경 구축 - DIVA, InsecureBankv2 앱 설치
2024.09.02- 2024.09.02 - 지난 이야기https://eagerprotector.tistory.com/64 [AOS] 1. 모바일 진단 환경 구축 - Nox,Anaconda 설치 및 환경 세팅- 2024.09.01 - 이번에는 모바일 진단을 하면서 배웠던가상환경 세팅 등 과정을 정리해보고자 한다.모바일 취약점 진단을 진행할 수 있는테스트 어플'INSECUREBANK'와 'DIVA'를 다뤄본다 Nox 설치 및 환eagerprotector.tistory.com DIVA 앱 설치STEP1 DIVA란?AOS 환경에서 사용하는 App에 대해 취약점 진단을 실습할 수 있는 환경을 제공2016년 이후 업데이트 중단 https://github.com/0xArab/diva-apk-file GitHub - 0xArab/di..
[AOS] 1. 모바일 진단 환경 구축 - Nox,Anaconda 설치 및 환경 세팅
[AOS] 1. 모바일 진단 환경 구축 - Nox,Anaconda 설치 및 환경 세팅
2024.09.01- 2024.09.01 - 이번에는 모바일 진단을 하면서 배웠던가상환경 세팅 등 과정을 정리해보고자 한다.모바일 취약점 진단을 진행할 수 있는테스트 어플'INSECUREBANK'와 'DIVA'를 다뤄본다 Nox 설치 및 환경 설정Step1 녹스 플레이어 설치https://kr.bignox.com/ Noxplayer – Fastest and Smoothest Android Emulator for PC & Mac – Free and SafePlay the most popular mobile games and run apps on PC with NoxPlayer, the best Android Emulator. Supports Android 9. Compatible with Windows & Mac. Much..
[SMTP] SMTP 상태코드(에러코드)별 종류와 이유
[SMTP] SMTP 상태코드(에러코드)별 종류와 이유
2024.06.04- 2024.06.04 - SMTP 서버를 최근 파이썬을 이용해 구축하다보니여러가지를 다루게 되었는데.그 중 SMTP의 상태코드. 즉, 에러코드 별종류와 사유를 정리해 보기로 했다. HTTP 상태코드야.. 당연히취약점진단 및 모의해킹을 하는 사람들이면접하기 쉬운 반면 SMTP 서버의 에러코드는 생소해서나중에 코드별로 원인과 사유를 파악하기 쉽게정리해 보기로 했다. SMTP란? SMTP은 Simple Mail Transfer Protocol의 약자로 해당 프로토콜은인터넷에서 이메일을 송수신하는 데 사용되는 표준 프로토콜이다.메일 서버 간의 메시지 전송뿐만 아니라메일 클라이언트에서 서버로 메일을 전송하는 데 사용된다.SMTP는 TCP/IP 프로토콜을 기반으로 하며, 일반적으로 TCP의 포트 25를 사용하고..
[역량강화] 서브도메인 스캔과 nmap 사용법 및 OSINT
[역량강화] 서브도메인 스캔과 nmap 사용법 및 OSINT
2024.06.03- 2024.06.03 - 1. 작업의 개요> 개발 혹은 운영 등 에서 보안에 대한 중요성, 필요성에 대해 보안의식의 부재로 보안진단을 받지 않고 서비스오픈을 하는 경우가 생기면서 주요 보안취약점을 악의적인 사용자가 노려 시스템침투, 혹은 중요정보를 노출하여 보안사고가 발생됨에 따라 정기적으로 보안성검토를 진행하여 정상적인 사용자가 서비스를 이용할 수 있도록 한다. 1.1. 왜 하는가?> 보안의식의 부재로 인하여 담당자가 적절한 보안조치를 검토받지 아니하고 서비스를 게시한 경우이다.이 경우 게시한 서비스가 적절한 보안검토를 받지 않아 개인정보 등의 주요 민감정보를 유출하거나 노출되는 보안사고가 발생한다.주로 2차 도메인(하위 도메인)의 경우 메인 도메인 밑으로 들어가면서 보안진단자가 이를 항상 확인하기가..
[모의해킹] 서브 도메인 수집도구 Sublist3r(Win,Lix)
[모의해킹] 서브 도메인 수집도구 Sublist3r(Win,Lix)
2024.05.20- 2024.05.20 -Sublist3r읽을 땐 서브리스터(sub lister)로 읽는다.취약점 진단 이나 Red Team(모의해킹) 활동시 정보수집으로 유용한 툴이다.리눅스와 윈도우로 나뉘어져 있으며리눅스는 쉴(.sh), 윈도우는 파이썬(.py)으로 되어있다. 서브리스터는 특정 도메인과 연결된 서브도메인(2차 도메인)을 검색하는 도구로서버에 직접적인 영향을 주는것이 아닌 google, bing, yahoo등의 검색엔진들을 사용하기 때문에사전조사를 진행하기 위해 매우 적절한 도구이다. 보통 2차 도메인을 확인하기 위해 여러 스캔을 하다보면아무리 합의가 되어진 보안진단이라고 할지라도 담당자나 운영자가 원치 않을 수 있고관제와의 별도의 협의도 필요하는 등 시간과 인력소모가 크다. 그러나 서버에 직접적으로 ..
[Python] 파이썬 설치 따라하기(설치, 기본 셋팅, 환경 변수)
[Python] 파이썬 설치 따라하기(설치, 기본 셋팅, 환경 변수)
2024.05.19- 2024.05.19 - 오늘은 기초였던 파이썬 설치를 진행해 보려고 한다. 파이썬 이란? 파이썬(Python)은 간결하고 가독성이 뛰어나 다양한 용도로 활용된다. 귀도 반 로섬(Guido Van Rossum)이 1980년대 말에 개발한 이 언어는 당시 이 언어 창시자가 좋아하는 "Monthy Python's Flying Circus"에서 유래해 지금의 Python이라는 이름이 붙이게 되었다. 그래서 이 파이썬의 로고는 때때로 뱀 모양의 도형이 사용되기도 하는데 이는 언어 개발자가 개발 과정에서 본인의 취향과 흥미를 반영한 것이다. 파이썬의 장점은?1. 쉬운 학습 곡선 : 문법이 간단하고 읽기 쉬우며, 초보자도 쉽게 배울 수 있다. 2. 다양한 용도 : 데이터 분석, 웹 개발, 인공지능, 자동화 등 다..
[역량강화] Curl 이란?
[역량강화] Curl 이란?
2024.05.17- 2024.05.17 - 세번째 역량강화 과제 기록.오늘은 CURL에 대해 알아보았다. 목 차1. Curl이란?2. CURL 옵션은?3. CURL 응답 값 중에 HTTP 상태코드만 출력되는 방법 찾기(응용)4. 접속가능 여부를 조사하는 배치파일 만들기(txt파일을 로드해서 csv로 정리 및 저장하기) 01. CURL란?CURL은 Client URL의 약자로 커맨드 라인 도구 이다.URL을 통해 데이터를 전송하고 받을 수 있는 다목적 전송 도구로 다양한 프로토콜을 지원하며주로 웹 서버와의 통신, API호출 등에 사용되며 사용자는 cmd에서 curl 명령어를 사용하여 작업을 수행한다. ※ 지원하는 프로토콜 목록 ※ - http- https- ftp-ftps-scip-sftp-ldap-telnet 02..
[역량강화] TLS 1.0, TLS 1.1 버전이 취약한 이유
[역량강화] TLS 1.0, TLS 1.1 버전이 취약한 이유
2024.03.21- 2024.03.21 - 마찬가지로, 두번째 역량강화가 끝났다.한.. 20일 새벽에 끝났는데 바로 올릴까 하다가 업무 끝나고 조금 쉬다보니 ㅋㅋㅋ시간이 벌써 하루가 다 가버렸다.각설하고 바로 시작해보자.목차1. TLSv1.0, TLSv1.1 버전이 왜 취약한가?2. 아래의 사이트를 통해 target(도메인)을 진단후 결과값에서 TLSv1.0, v1.1 버전 접속이 가능여부 확인 ssl 취약점 분석 사이트 : https://www.ssllabs.com/ssltest/3. openssl.exe 가 무엇인지 조사하기 & 설치4. openssl을 통해 target(도메인)이 사용중인 TLS 버전이 뭔지 알 수 있는 방법 조사하기5. openssl을 통해 target(도메인)에 TLSv1.0, 1.1, 1..
[역량강화] Burp Suite 기초
[역량강화] Burp Suite 기초
2024.03.19-2024.03.19- 2022년에 입사한 회사에서 최근에 다른 사이트로 부서이동을 했다. 그와 동시에 새로 이동한 사이트에서 좋은 선배를 만나 역량강화 트레이닝을 받게 되었다. 사실 다 아는 기초역량 이지만 과제를 주시며 하셨던 첫 서두는 탄탄한 기초지식이였다. 그래서 Notion이든, 블로그든 어디든 이걸 기록함으로써 나중에 정보가 필요할때 다시 찾기 쉽게 관리를 잘 해두라고 하셨다. 100번 생각해도 101번 맞는생각이라 나도 내가 공부한것들을 여기 블로그에 작성하여 남기기로 했다. 애초에 이 블로그가 그런것을 목적으로 만들었기때문에..본디 개개인의 역량을 잘 다듬을 수 있길 ※ 본 아래 글은 제가 설명하고 추후에 이해가 쉽도록 풀어쓴 해석 및 기능의 설명이 있습니다. 따라서, 본디 그 기능의 정의..
[1] Synology NAS - 서버 구축(개봉기 및 초기설정)
[1] Synology NAS - 서버 구축(개봉기 및 초기설정)
2024.02.24- 2024.02.23 - 안녕하세요. Wolfcall입니다. 모두 잘 지내시고 있나요? 오늘은 NAS를 설치하고 초기 설정부터 온전히 나만의 서버로 커스텀하는 일련의 과정들을 시리즈로 풀어볼 생각입니다. 글쓰기에 앞서, 저는 이미 기존의 NAS를 한 대 운영중에 있는데요. 이걸 설정하고 셋팅을 바꿔가면서 제가 원하는 설정까지 거의 80%까지 커스텀을 하였는데요. 다 해놓고 보니, 블로그에 올릴만한 사진이나 과정을 별도로 남겨둔게 없어 아쉬운 찰나 NAS한대를 더 이용하여 기존의 메인NAS를 백업할 수 있는 기회가 생겨 이렇게 준비해 보았습니다. 그럼 시작해 보겠습니다! 목차 01. NAS 개봉기 02. DSM 설치 03. 스토리지 풀 구성 04. 보안 설정 05. 사용자 계정 생성 Chapter1. N..