| 전체 방문자 | 어제 | 오늘 |
SQL Fiddle | A tool for easy online testing and sharing of database problems and their solutions.
Query Panel Use this panel to try to solve the problem with other SQL statements (SELECTs, etc...). Results will be displayed below. Share your queries by copying and pasting the URL that is generated after each run.
www.sqlfiddle.com
SQL Test
Free Online SQL Test Tool
sqltest.net
제곧내
1. 버프 실행하고, http://burp에서 버프 인증서 다운로드
2. 다운로드한 버프 인증서 설치(더블클릭)
3. 키체인 접근 > 버프인증서 더블 클릭 > [신뢰] 항상 신뢰로 설정
command + 스페이스, 키체인 접근 검색
항상 신뢰 ㄲ
이러면 됨
-끝-
| 맥북에 dirsearch 설치하기 (0) | 2022.11.15 |
|---|---|
| [버프슈트] 버프슈트 Target - Scope 설정 및 정규표현식 정리 (0) | 2022.11.15 |
| [웹프록시 소개] 버프슈트(burp suites) 커뮤니티/프로 필수 설정 방법 및 순서, 버프슈트 다운로드 방법, 프로/커뮤니티 차이, extender 등 웹프록시란? 웹프록시 종류 (0) | 2022.10.14 |
후.. 벌써 몇번 설치하고 지우고 까먹고, 설치하고 지우고 까먹고
걍 정리합니다.
https://github.com/maurosoria/dirsearch#installation--usage
GitHub - maurosoria/dirsearch: Web path scanner
Web path scanner. Contribute to maurosoria/dirsearch development by creating an account on GitHub.
github.com
위 사이트 들어가서 정보 봅니다.
아래 코드 맥북에서 터미널 띄워서 복붙합니다.
git clone https://github.com/maurosoria/dirsearch.git --depth 1
그럼 폴더 생깁니다.
사용 법은 ///python3 direarch.py -u 경로/// 입니다.
근데 실행하면 안됩니다. 왜냐면 참조할 모듈이 설치 안됬으니까요
고로 requirements.txt 파일 참조해서 다 설치 해줍니다
sudo pip3 install -r requirements.txt일케하면 다 설치됨니다
다 하면, 아래 명령어로 테스트 합니다.
python3 dirsearch.py -u 127.0.0.1
위 그림 뜨면 설치 제대로 된겁니다.
공홈가서 사용법 보고 씁니다.
Usage: dirsearch.py [-u|--url] target [-e|--extensions] extensions [options]
등등..
끝
| 맥북 버프슈트 인증서 설치, 적용 (0) | 2022.11.17 |
|---|---|
| [버프슈트] 버프슈트 Target - Scope 설정 및 정규표현식 정리 (0) | 2022.11.15 |
| [웹프록시 소개] 버프슈트(burp suites) 커뮤니티/프로 필수 설정 방법 및 순서, 버프슈트 다운로드 방법, 프로/커뮤니티 차이, extender 등 웹프록시란? 웹프록시 종류 (0) | 2022.10.14 |
점검 시, 버프슈트에서 타겟만 보이게하려면
Target탭의 Scope 설정에 들어가서, 점검 대상 주소를 넣어주면된다.
근데 유사도메인이 여러개라서, 정규표현식으로 타겟을 잡을 경우 방법은 아래와 같다.
Use advanced scope control 을 클릭하고
프로토콜 : any
HOST / IP range : .*\.naver\.com$
이렇게 설정하면
{서브도메인}.naver.com/{기타 파라미터}
들을 확인할 수 있다.
끝임
| 맥북 버프슈트 인증서 설치, 적용 (0) | 2022.11.17 |
|---|---|
| 맥북에 dirsearch 설치하기 (0) | 2022.11.15 |
| [웹프록시 소개] 버프슈트(burp suites) 커뮤니티/프로 필수 설정 방법 및 순서, 버프슈트 다운로드 방법, 프로/커뮤니티 차이, extender 등 웹프록시란? 웹프록시 종류 (0) | 2022.10.14 |
제목은 어그로성으로 거창하나
실제 내용은 그냥 웹프록시 간략하게 소개하고, 버프 쓸때 필수 설정값 공유 입니당
[웹프록시 소개]
웹 프록시는 유저와 서버 사이에 위치하여 유저/서버 간 전달되는 값을 잡는 역할임
*유저 => 프록시 => 서버
*유저 <= 프록시 =< 서버
종류는 많지만 한국에서 대중적인 웹프록시는 크게 4가지 있음
찰스(맥북 전용), 피들러(윈도우 전용), 버프슈트(맥/윈도우), 파로스(고전)
버프 슈트가 국내에선 제일 대중적인듯!?
*버프의 단점 : 용량이 큼
*버프의 장점 : 그만큼 기능이 많음, 맥/윈도우 다됨
고로 어쩔 수 없이 써야하는 경우가 있음(=쓸줄알아야된다.)
지금 이 글을 적는 이유도.. 저는 다른 프록시 도구를 애용하지만
제공 받은 환경에 버프슈트밖에 없어서 셋팅하는 김에 겸사겸사 이것저것 추가해서 블로깅을 하고있습니당
버프슈트 다운로드 주소 : https://portswigger.net/burp
Burp Suite - Application Security Testing Software
Get Burp Suite. The class-leading vulnerability scanning, penetration testing, and web app security platform. Try for free today.
portswigger.net
버프슈트 다운로드 방법(위 링크 클릭, 원하는 제품 클릭, 다운로드)
버프슈트는 기본세팅에서 한글이 깨지므로 폰트 수정 필요
폰트 수정 경로 [User options > Display > Change font]
유용한 단축키
**Ctrl + T / 프록시 ON / OFF
**Ctrl + F/ 패킷 포워딩(보내기)
**Ctrl + Space / 리피터에서 send
*Ctrl + R / 리피터
*Ctrl + I / 인트루더
Ctrl + Shift + R / 리피터로 이동
Ctrl + Shift + I / 인트루더로 이동
Ctrl + Shift + P / 프록시로 이동
Ctrl + Shift + T / 타겟으로 이동
(U=URL, B=base64, H=html)
Ctrl + Shift + U / URL 디코딩
Ctrl + U / URL 인코딩
Ctrl + - / 이전 탭으로 이동
Ctrl + = / 다음 탭으로 이동
==================================
단축키 설정
Add highlight / Ctrl+Alt+H
**아쉬운거 : clear history 단축키 있었으면..
적절히 원하는 방식으로 설정
127.0.0.1은 내 localhost IP이다.
포트는 안쓰는 포트번호로 설정한다.
아래처럼 셋팅은 버프에 셋팅한 것이고, PC환경에서도 PROXY설정 또는 크롬 브라우저에 프록시 설정 해줘야된다.
사이트 개수가 적으면 풀경로(ex. https://www.naver.com)를 를 Add 해주고
서브도메인이 많은 경우 등등 정규표현식 써주면 유용
아래 꺼는 일반
정규표현식
Extender탭 요약
- Extensions : 설치된 확장 기능 나열
- BApp Store : 버프 상점, 여기서 유료 확장도구를 구매하거나 무료 확장도구를 설치 가능
- APIs : 확장 기능 관련 API 모음
- Optons : JAVA, Python, Ruby 등 확장관련 셋팅
뭐 위 내용 읽어도 처음보는 사람은 잘 모른다.
간략하게 설명하자면 BApp Store에서 자기가 필요하다고 생각하는 확장도구 몇개 설치해서 쓴다고 보면된다. (보통 무료 도구 쓰고, 잘 안쓰는 사람도 많다, 쓰는사람도 많음)
직접 개발해서 사용하시는 분들도 종종 봄
주의할 점은 BApp Store는 버프슈트 프로(유료)에서만 사용 가능하다.
아래 그림을 보면 상세히 나옴
두개 다 써본 경험 상 체감되는 차이점은 아래와 같다.
- 버프슈트 프로 = 유료 / BApp Store 사용 가능(은근 쏠쏠함) / 검색 기능 존재(이건 무료에도 넣어줘야 되지 않냐)
- 버프슈트 커뮤니티 = 무료다(장점)
사실 프로의 기능은 손과 눈으로 대체하면 된다.
근데 회사가면 프로 줄 가능성 높다
이렇게 길게 안쓰고, 몇개 셋팅값만 적으려 했는데 괜히 욕심나서 글을 길게 썼습니다.
끝입니당
| 맥북 버프슈트 인증서 설치, 적용 (0) | 2022.11.17 |
|---|---|
| 맥북에 dirsearch 설치하기 (0) | 2022.11.15 |
| [버프슈트] 버프슈트 Target - Scope 설정 및 정규표현식 정리 (0) | 2022.11.15 |
피들러, 버프, 찰스 기타 등등 점검할때 환경에 따라 이거저거 쓰곤한다.
근데 쓰다가 다시 환경셋팅하려면 헷갈리는 경우가 많더라.
내가 보기 위해 정리한다.
피들러 인증서 다운로드
> http://ipv4.fiddler:8888/
> http://127.0.0.1:8888/
// 포트는 내가 설정한걸로
툴 > 옵션 > HTTPS > Actions > Export
버프 인증서 다운로드
> http://burp
> http://127.0.0.1:8888/
// 위랑 비슷할듯
| #포렌식01 윈도우 계정 보안(SAM, SECURITY, SYSTEM 파일 분석) (0) | 2021.10.22 |
|---|---|
| #금융권 보안 관련 래퍼런스 (0) | 2021.08.25 |
| #1 모바일 앱 테스트(프록시 연결) (0) | 2021.08.22 |
| #1 안드로이드 (0) | 2021.03.30 |
| XSS Archive (0) | 2021.02.20 |
윈도우 보안 점검 시 SAM, security, system 파일을 기반으로
패스워드의 유효성이라던지, 윈도우 상태라던지를 볼 경우가 있다.
뭐 여러가지 방법이 있지만. 단발성으로는 REGA라는 프로그램을 추천한다.
하기에서 무료로 다운가능하고
http://forensic.korea.ac.kr/tools.html
DFRC - Digital Forensic Research Center
forensic.korea.ac.kr
REGA_v1.5.3[Freeware].zip
3.05MB
사용 방법도 간단하다.
어렵게 쓸 수도 있겠지만.. 뭐 라이트한 용도로 쓰면 .. 간단함
(사용방법) REGA.exe를 실행하고
이제 분석결과를 기반으로 점검하면된다.
끝이다.
| #1 피들러, 버프 인증서 설치 (0) | 2022.03.07 |
|---|---|
| #금융권 보안 관련 래퍼런스 (0) | 2021.08.25 |
| #1 모바일 앱 테스트(프록시 연결) (0) | 2021.08.22 |
| #1 안드로이드 (0) | 2021.03.30 |
| XSS Archive (0) | 2021.02.20 |
관련 법률 및 컴플라이언스
#1 전자금융감독규정(전자금융)
전자금융감독규정 해설 상세보기 | 금융감독원
1. 관련근거 - 「금융규제 운영규정 제16조」 2. 금융회사 및 전자금융업자의 IT 운영업무의 효율성을 도모하고, 전자금융감독과 관련한 이해를 돕기 위하여 ’09.12월 발간한 「전자금융감독규정
www.fss.or.kr
#2 전자금융거래법
전자금융거래법
www.law.go.kr
#3 신용정보의 이용 및 보호에 관한 법률(신용정보법)
신용정보의 이용 및 보호에 관한 법률
www.law.go.kr
#4 개인정보보호법(개보법)
#5 정보통신망법
#6 주요정보통신기반시설 ~~가이드
등등
| #1 피들러, 버프 인증서 설치 (0) | 2022.03.07 |
|---|---|
| #포렌식01 윈도우 계정 보안(SAM, SECURITY, SYSTEM 파일 분석) (0) | 2021.10.22 |
| #1 모바일 앱 테스트(프록시 연결) (0) | 2021.08.22 |
| #1 안드로이드 (0) | 2021.03.30 |
| XSS Archive (0) | 2021.02.20 |
#1 프록시 도구 연결(fiddler)
모바일 폰과 노트북을 같은 네트워크에 물림 > 모바일 프록시 설정
노트북 주소:포트 입력 후, 인증서 다운로드 및 설치
연결 완료~
| #1 피들러, 버프 인증서 설치 (0) | 2022.03.07 |
|---|---|
| #포렌식01 윈도우 계정 보안(SAM, SECURITY, SYSTEM 파일 분석) (0) | 2021.10.22 |
| #금융권 보안 관련 래퍼런스 (0) | 2021.08.25 |
| #1 안드로이드 (0) | 2021.03.30 |
| XSS Archive (0) | 2021.02.20 |