| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
- igoat
- Reflected XSS
- otter
- MFT
- lord of sql injection
- InsecureBank
- logstash
- beebox
- Strings
- NTFS
- vulnhub
- XSS
- Openstack
- foremost
- Suninatas
- elasticsearch
- base64
- ctf
- Volatility
- ESXi
- 2018
- diva
- kibana
- SQL Injection
- 인시큐어뱅크
- Docker
- CTF-d
- 파이썬
- frida
- 안드로이드
- Today
- Total
목록모바일 (84)
Information Security
SQL Injection
SQL Injection - 데이터베이스 비정상적인 쿼리를 입력해 조작하는 취약점이다. 위치 iGoat\SQL Injection\SQLInjectionExerciseController.m 영향 데이터베이스 정보가 노출될 위험이 있다. 진단 SQL Injection 문제에서 i2sec을 먼저 입력했다. 그림 12-1처럼 데이터를 입력했지만 Articles 아무 내용이 보이지 않았다. 이번에는 입력란에 아무 내용을 입력하지 않았다. 아무것도 입력하지 않고 Search 했는데 2개의 기사가 보이는 것을 알 수 있다. 이번에는 SQL Injection 쿼리문 ‘ or ‘1’=’1을 입력했다. 그림 12-4에서 보이지 않는 마지막 기사가 보이는 것을 알 수 있다. SQLInjectionExerciseControl..
Cross Site Scripting
Cross Site Scripting - 악성 스크립트를 삽입하여 공격하는 취약점이다. 위치 iGoat\Cross Site Scripting\ CrossSiteScriptingExerciseViewController.m 영향 사용자의 정보를 탈취하거나 비정상적인 기능을 수행하게 할 수 있다. 진단 Cross Site Scripting 문제에서 스크립트 공격을 시도했다. 그림 11-1처럼 스크립트 공격을 시도한 결과 Welcome to XSS Exercise 메시지를 보여준다. 대응방안 불필요한 태그는 사용하지 않는게 좋다.
Server Communication
Server Communication - 사용자와 서버 간에 통신상에서 문제가 발생할 수 있는 취약점 위치 iGoat\Server Communicaton\ServerCommunicationExerciseController.m 영향 서버랑 평문 전송시 중요한 정보가 노출될 위험이 있다. 진단 First Name Hugh, Last Name Manatee, SSN 111-22-3344 입력하고 데이터를 전송했다. 사용자 정보는 악의적인 SSL 서버에 전송된다는 메시지를 보여준다. 대응방안 서버와 클라이언트 통신할 때 SSL/TLS 보안 통신을 하는 것이 좋다.
Public Key pinning
Public Key pinning - HTTP 헤더를 통해 전달되는 인터넷 보안 메커니즘으로 사기성 인증서를 사용하여 공격자가 가장 하는 것에 대해 저항을 허용한다. 영향 SSL/TLS로 이루어진 암호화 통신은 중간자 공격에 취약하다. 진단 First Name Hugh, Last Name Manatee, SSN 111-22-3344 입력하고 데이터를 전송했다. 서버에 전송 과정에서 데이터가 평문으로 노출되는 것을 알 수 있다. SSL 통신을 하라는 경고 메시지가 보이는 것을 확인할 수 있다. 대응방안 서버와 클라이언트 통신할 때 SSL/TLS 보안 통신을 하는 것이 좋다.
YAP Storage
YAP Storage - YAP 데이터베이스는 iOS 및 MAC 용 확장 데이터베이스이다. 위치 iGoat\YAP Data Storage\YAPExcresizeViewController.m 영향 데이터베이스 저장되어 있는 정보가 유출될 위험이 있다. 진단 Yap Storage 문제에서 Username i2sec Password 1234 입력했다. 그림 8-1 처럼 데이터를 입력해 Failed 메시지를 보여준다. iGoat\YAP Data Storage\YAPExcresizeViewController.m 소스 코드를 보면 Email, Password 정보를 확인할 수 있다. Username JohnDoe@yap.com Password TheUnknown 데이터를 입력해 Success!! 메시지를 보여준다...
Realm Data Storage
Realm Data Storage - Realm 데이터베이스는 오픈소스로 모바일 사용에 최적화된 내장 데이터베이스이다. 위치 iGoat\RealmDataStorage\RealmExerciseViewController.m 영향 민감한 정보가 노출될 위험이 있다 진단 name부분은 i2sec입력 number부분은 123456 CVV 1234 입력했다. 그림 7-1처럼 데이터를 입력했는데 Failed 메시지를 보여준다. RealmExerciseViewController.m 소스에 CardName, CardNumber, CardCVV 정보를 확인할 수 있다. CardName John Doe, CardNumber 4444 5555 8888 1111, CardCVV 911 입력해 Success 메시지를 보여준다. ..
Plist Storage
Plist Storage - 주요 데이터를 Plist 파일에 저장해 발생하는 취약점 위치 iGoat\Documents\userInfo.plist 영향 사용자가 입력한 정보가 평문으로 저장되어 노출될 위험이 있다. 진단 Username 입력란에 i2sec Password 1234를 입력했다. 데이터를 입력한 결과 Invalid 메시지를 보여준다. iGoat\Documents\Credentials.plist 파일을 찾았다. Credentials.plist 파일에 User, Password 정보를 확인할 수 있다. 그림 6-4 정보를 입력한 결과 Success 메시지를 보여준다. 대응방안 정보를 암호화 해 저장한다.
NSUserDefault Storage
NSUserDefault Storage - NSUserDefaults함수로 저장해 경로가 노출되고 데이터를 확인할 수 있는 취약점 위치 iGoat\Library\Preferences\com.swaroop.iGoat.plist 영향 민감한 정보를 노출될 위험이 있다. 진단 데이터 입력란에 1234를 입력했다. 데이터를 입력한 결과 Invalid! 메시지를 보여준다. iFounbox에서 iGoat\Library\Preferences\com.swaroop.iGoat.plist 파일을 찾았다. Plist 파일 안에 53cr3tP PIN 번호를 확인할 수 있다. 53cr3tP PIN번호를 입력한 결과 Success 문구를 보여준다. 대응방안 중요 정보 저장 시 암호화를 한다.