자주 보는 사이트
-
모바일
frida cheatsheet
native 모든 context 조회 console.log( JSON.stringify(this.context) ) 특정 라이브러리 로드 후 주소값 후킹(android) Interceptor.attach(Module.getExportByName(null, "android_dlopen_ext"), { onEnter(args) { this.path = Memory.readUtf8String(args[0]); }, onLeave(retval) { if ( /libfoo.so/i.test(this.path) ) { const target = this.path.split("/").pop(); hook(target); } }, }); function hook(lib) { const base_adr = Module...
-
해킹-보안
XSS CheatSheet
ி Common Tags test link ி Uncommon Tags // hidden input : only on Firefox (when pressed Alt+Shift+X) ி Custom Tag ி Obfuscation link link Click // base64 YWxlcnQoMSk= // hex alert(1) // ascii 97,108,101,114,116,40,49,41 // JJEncode (http://utf-8.jp/public/jjencode.html) $=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"..
-
업무 자동화
xss 인코딩 도구
입력창 javascript:confirm() 인코딩 디코딩 HTML ENTITY UNICODE ISO-Latin-1 (ISO 8859-1) BASE64 HEX ASCII URL
-
해킹-보안
XSS(Cross-Site Scripting) 테스트 앱
본 게시글은 크로스 사이트 스크립팅을 테스트할 수 있는 웹 애플리케이션이다. - 사용법 - 1. 입력창 유형을 선택한다. Textbox - 한 줄로만 실행 가능, Enter 키로 Ok 버튼을 요청 할 수 있어서 스크립트를 빠르게 실행하려고 할 때 유용하다.Textarea - 여러 줄 실행 가능, 게시글과 같은 넓은 입력 화면을 제공하여 스크립트 작성이 편리하다. 2. XSS 코드 입력 창에 테스트할 스크립트를 삽입 후 OK 버튼을 요청한다. 3. Output html 코드에서 삽입된 스크립트가 실행되고 Output Code에서 입력된 스크립트가 text 형식으로 출력된다. 1. Output form에서 html 폼을 변경할 수 있다. 2. #1은 script 태그를 이용한 방식, #2-3은 이벤트 핸들러..
-
모바일
앱 취약점 진단(프로그램 무결성 검증, 디버깅 탐지, 메모리 중요 정보 노출 등)
ி android 프로그램 무결성 검증 apk 추출 > adb shell pm list packages -f | findstr "appname" > adb pull appname . apk 디컴파일 java -jar apktool_2.5.0.jar d -r [디컴파일할 apk 파일 경로] smail 파일 변조 apk 빌드/서명 시 apk manager 혹은 APK Easy Tool 사용 apk easy tool: https://drive.google.com/drive/folders/10jOplY_wnT_47UneXU7use0WBFWNBYxZ apk 빌드 > java -jar apktool_2.5.0.jar b [디컴파일한 apk 폴더] -o [리패키징할 apk 파일명.apk] * APK Protect가 ..
-
모바일
frida 설치하기
ி frida Tool 설치 > pip install frida-tools ㆍ python 3.7에서 진행함(특정 버전 실행 시 모듈오류 발생하는 경우가 있음) ㆍ frida 설치 중 warning 오류를 해결하고 진행할 것 ㆍ frida server와 frida tools 버전이 다르면 frida 실행 시 핸드폰 강제 재부팅됨 ி frida 서버 설치 ㆍ android server 설치: https://github.com/frida/frida/releases ㆍ 위에서 다운받고 압축 해제한 파일을 스마트폰 내부(/system)로 옮긴다. ㆍ 우선 system은 rw 권한이 없기 때문에 마운트를 통해 rw 권한을 부여하고 임시 저장 공간에서 frida 파일에 대한 권한을 부여한 뒤 system 폴더로 옮..