목록분류 전체보기 (8)
니삼 블로그
해당 블로그는 귀찮아서 관리를 하지 않습니다. 안녕... 간혹 https://hacktagon.github.io 여기서 글을 써요.
마크다운으로 작성해서 조금 이상하게 보이는 경우가 있는습니다. gist에도 올려놨습니다. 링크 XSS (Cross-Site Scripting)크로스 사이트 스크립팅(Cross-Site Scripting, XSS)은 사용자의 입력값에 의해 자신 혹은 타인의 브라우저에 스크립트를 삽입하여 사용자를 공격하는 기법이다. "XSS 취약점이 없는 사이트는 없다."라고 할 만큼 많이 발생하는 취약점이다.XSS는 공격 유형에 따라 크게 2가지로 분류할 수 있다. 첫 번째로 사용자의 입력값이 즉시 나타나는 비 지속적인 유형이다. 사용자의 입력을 그대로 반사한다는 의미의 Reflected XSS 기법이 이에 해당한다. 두 번째로 사용자의 입력이 데이터베이스(혹은 파일, 브라우저 리소스 등)에 저장되어 지속적으로 발생하는 ..
Protobuf로 통신하는 애플리케이션을 분석 할 일이 생겼다. 분석에 앞서 Protobuf를 먼저 사용해보려고 한다. Protocol Buffers는 구글에서 개발한 데이터 교환 포맷이다. 그냥 데이터 직렬화 도구이다. 자세한 내용은 깃허브에서 확인하자.Protobuf는 다양한 언어를 지원하고 있지만 python으로 진행하였다. 설치(apt-get) # apt-get install protobuf-compiler$ protoc --versionlibprotoc 2.5.0 $sudo pip install protobuf 설치가 끝났으면 직렬화할 데이터 포맷을 정의할 proto파일을 만들어야한다. 샘플 - addressbook.protopackage tutorial; message Person { requ..
0. 서론드디어 방학이다 데-헷☆ 사실 이제 할거 없음.. 또르르.....ㅠㅠ 이제 뭐하고 삼... 거기다 블로그 도메인이 끊겨서 넘나 슬픈것..그런 기념으로 오랜만에 블로그 포스팅을 한다.나는 여러가지 이유로 버프슈트를 사용하지 않는데, 대안으로 사용하고 있는게 피들러다.피들러는 몇몇 공격도구를 포함하고 있는 버프슈트의 공격 기능을 제외하고는 모든 기능에 대응할 수 있다. 게다가 버프슈트보다 빠르고 편하다.(개인적인 생각 악플 ㄴㄴ) 앞으로 "내가" 사용하는 피들러의 기능과 사용법을 소개하려고 한다. 즉 피들러의 모든 기능을 설명하진 않을 예정! 1. 설치다운로드 경로 https://www.telerik.com/download/fiddler/fiddler4설치는 역시나 언제나 NEXT-NEXT-NEXT..
개인적으로 가장 즐겨쓰는 버프슈트를 떠나는 4가지 이유. 느리다.기능이 적다.대형 서비스를 분석하기 불편한 UI/UX..인코딩 문제. 1. 느리다java 응용프로그램의 한계라고 해야할까? 버프슈트를 켜놓는 것 만으로도 브라우징이 느려지는걸 느껴본적이 있을 것이다.대형 서비스를 분석 할 때 브라우저가 느려지는건 정말로 답답하다. 2. 기능이 적다확장 프로그램으로 이를 커버할 수 있다고 하지만, 기본적인 기능의 부족, 유료 기능의 문제점이 있다. 3. 대형 서비스를 분석하기에 불편한 UI/UX한개의 요청에 대해 처리하기에 유리하지만, 한 페이지에서 수많은 요청을 하는 대형 서비스를 분석하기에 불편하다. (물론 내가 잘 못써서 그럴지도..) 4. 인코딩 문제한글 폰트로 바꾼다고 해도 처리가 안되는 한글문제....
내가 가장 사랑하는 툴 중에 하나인 "Burp Suite"에는 기존의 기능을 확장할 수 있는 extender 기능이 있다. 하지만 적절하게 사용할 기회가 없었는데, 페이스북을 분석하는 도중 불편한 기능이 있어서 확장 기능을 이용해서 개선을 시도해 보았다.처음에는 원하는 기능이 있을까 싶어서 직접 개발을 시도하려 했으나, 생각보다 마켓에 다양한 확장 프로그램이 존재하였다. 그중 나에게 필요한 javascript 관련 도구가 존재하여 이를 소개하겠다. Burp extender 소개Burp Suite의 확장 프로그램은 자바, 파이썬, 루비로 작성 할 수 있으며, 제공하는 API와 예제 프로그램들은 공식 홈페이지 확장기능에서 확인 할 수 있다. BApp store확장프로그램 스토어이다. 다양하고 유용한 확장 프..
서론개인적으로 시간을 가장 많이 소비하고 있는 페이스북 그룹 생활코딩에서 다음과 같은 사진이 논란이 되었다.(페이스북에 업로드된 사진이 얼마나 많이 업로드 되었으면 자글자글 해졌다 -_-;)페이스북 글 내용은 @[숫자:0] 이라고 입력할 경우 자신의 미국식 이름이 나온다고 한다. 실제로 사진의 설명과 똑같이 (모바일)페이스북에 글을 작성해 본 결과이다. 왜 이런 결과가 나올까? 해당 기능을 설명하기 전에 알아야 할 페이스북 기능은 "태그"이다. 페이스북 태그란?페이스북을 하는 유저라면 @를 입력하고 사용자 이름을 적어서 그 사람을 언급할 때 사용하는 기능을 써본 적 이 있을 것이다. 태그에 대해서 페이스북에선 다음과 같이 설명하고 있다.게시물이나 댓글에서 사람, 페이지, 그룹을 언급하려면?게시물이나 댓글..
서론안드로이드 단말에서 네트워크 분석이 필요한데, 한글화된 자료가 없어서 작성하게 되었습니다. 다양한 방법이 있지만 그 중 HTTP/S 통신에 대해서 ProxyDroid와 BrupSuite를 이용해서 티스토리 공식앱 타겟으로 분석해보았습니다. ProxyDroidPlay Store에서 다운로드 하거나 Github에서 직접 받은 뒤 빌드해서 안드로이드 단말에 설치합니다. 하지만 기능을 사용하기 위해서는 루팅이 필요합니다.ProxyDroid는 다음과 같은 기능을 제공합니다. HTTP / HTTPS / SOCKS4 / SOCKS5 proxy 지원basic / NTLM / NTLMv2 인증 기능 지원특정 앱에 대한 proxy 기능 지원설정을 저장 할 수 있는 프로필 기능 지원WIFI SSID, 2G, 3G에 대한..