설치 파일 다운로드 아래 2개 링크에서 파일을 다운로드를 진행한다. drozer-2.4.4.win32.msi Release 2.4.4 · WithSecureLabs/drozer [Build Process] AppVeyor updated to deploy Windows installer [Build Process] Fixed versioning of whl, deb and rpm packages [Bug Fixes] Several bug fixes github.com Drozer2.3.4.apk Drozer Comprehensive security and attack framework for Android. labs.withsecure.com 설치 진행 설치 전 주의사항은 Drozer가 Python2 기반..

A01: Broken Access Control(손상된 엑세스 제어) 액세스 권한이 잘못 구성되어 공격자가 처음에 액세스해서는 안되는 데이터, 파일 및 계정에 액세스, 수정 또는 삭제할 수 있는 경우 발생합니다. 위험 및 결과 위험 무차별 대입 공격으로 시스템 접근 파라미터 변조로 필터링 우회 호스팅 제어/관리 패널에 대한 액세스 FTP / SFTP / SSH를 통한 서버 접속 웹사이트의 관리 패널에 액세스 서버의 다른 애플리케이션에 액세스 데이터베이스 접근 그 외 접근 우회 및 권한 상승 결과 승인되지 않은 기능 및/또는 데이터에 액세스 민감한 파일 보기 접근 권한 변경 파일 및 기록 편집 실제 사례 스냅챗 스냅챗은 무차별 대입 공격으로 460만 명의 사용자 이름과 전화번호가 공개됬습니다. 페이스북 페..

크로스사이트 스크립트에 나만의 취약점 점검 방식과 우회법을 작성한다. XSS / CSRF 크로스사이트 스크립트 / CSRF 크로스사이트 스크립트(Cross Site Script)는 개발자의 실수로 인해 발견되는 취약점으로 발견 통계 중 가장 많은 비중을 차지하고있다. 종류로는 DOM-Based XSS, Reflected, Stored가 있다. 큰 목적으로는 사용자 정보 탈취와 공격자가 의도한 기능 실행이 대다수이다. 하지만 글은 진단자의 입장으로 작성한다. 크로스사이트 스트립트 XSS 원인과 원리 사용자의 입력을 받는 파라미터에 특수문자를 제한하지 않아 발생한다. 간단한 원리로는 직접 HTML, JAVASCRIPT를 직접 수정해 스크립트를 입력한다라고 봐도 될거같다. 소스코드에 직접 입력하는것이 아닌 "..