kkamagi.story

회사에서 급하게 모바일 앱 취약점 진단을 요청하였다. 현업/개발부서에서 갑자기 서비스 오픈을 한다고 하니.. 보안팀 입장에서 안할 수도 없는 노릇이다. 사수가 조심스레 물어본다. 모바일 취약점 진단 해봤냐며..(안해봤다) 우선 최대한 해보라고 하고 별다른 방법도 없고, 원래 현 직장에서의 업무가 웹/모바일 취약점 진단이니깐.. 당연히 진행하겠다고 했다. 우선 구글링 & 유튜브 총동원. 내가 아는 건 우선 nox player 밖에 없는 상황이다. (모바일 앱 단순 실행 테스트) 분석 환경 구축 - frida를 통한 모바일 취약점이 많이 나오길래 찾아보니 frida 환경을 구축하고 모바일 앱 서비스와 서버-클라이언트 통신을 통해 분석을 하는 모양이다. 1. nox 환경 세팅 nox player 다운로드 및 ..

Archery 취약점 진단 솔루션 소개 * 진단 도구 소개 Archery는 개발자와 침투테스터가 스캔을 수행하고 취약점을 관리하는 오픈 소스 취약점 진단 및 관리 도구이다. Archery는 잘 알려진 오픈 소스 도구를 사용하여 웹 응용 프로그램과 네트워크를 포괄적으로 검사한다. 해당 툴을 이용하면 스마트하고 자동화 된 방식으로 시스템의 취약점을 탐지하고 이를 통합된 방식으로 관리할 수 있다. 공식홈페이지 https://archerysec.info/index.html 참고페이지 https://m.blog.naver.com/PostView.nhn?blogId=chogar&logNo=221291008897&categoryNo=13&proxyReferer=&proxyReferer=https%3A%2F%2Fwww..

서버, 네트워크, 서비스에 대한 전반적인 보안수준은 놀라울 정도로 발전하였다. 특히 네트워크 층을 보호하는 방화벽과 IDS/IPS 시스템과 같은 분야의 개선된 제품의 힘이 컸다. 하지만 이런 장비들은 웹 애플리케이션이나 거기서 사용되는 데이터를 효과적으로 보호할 수 없다. 결과적으로 해커들은 웹 애플리케이션을 공격하는 방향으로 선회하였는데, 대부분의 웹은 데이터베이스 서버와 같은 내부 시스템과 직접적으로 상호작용하면서도 방화벽이나 네트워크 보안장비 등 의 장비로 밖에 보호 받지 못하는 등의 취약한 구조 때문이다. 현재의 웹 애플리케이션은 소프트웨어 개발 초기 단계에 보안을 포함하고 표준화된 방식으로 보안 요구사항을 형식화 하도록 규정과 심사, 지침등이 마련되어 있으며, '오픈 소스 웹 애플리케이션 보안 ..