어제 뒤적뒤적 웹 서핑하다가 가타카나로 된 공격코드를 보고 한글로도 한번 만들어봐야지 싶어 퇴근길에 폰으로 만들어봤습니다 😊

ZAProxy에서 replacer를 이용해 Request/Response 내용 중 일부를 자동으로 변경할 수 있습니다. 물론 추가도 가능하구요.그치만 우리는 때때로 조금 더 디테일한 변경이 요구되기도 합니다. 이때는 script로 넣어두고 쓰면 편리하니 공유드립니다.

앱 취약점 분석 시 엄청나게 활용도 높은 프리다. 예전부터 약간 Jailbreak, rooting 단말에서만 동작한다는 편견이 있었는데요. 재미있는 트릭을 이용하면 비루팅/비탈옥 단말에서도 프리다 사용이 가능합니다. 프리다 공식 홈에도 있는 내용이니 참고하시길 바랍니다 :)

최근에 iOS 앱 중 최소 설치버전 제한 떄문에 약간 삽질을 했었습니다. 결론부터 말씀드리면 해당 앱 기준으론 성공하지 못했습니다만, 가능성이 없는 방법은 아니기 때문에 블로그 글로 공유해봅니다.

시간날때 천천히 못본 blackhat 자료 보고있는데, 눈길을 끄는게 하나 있어 정리해서 글로 작성해봅니다.

Record and share your terminal sessions, the right way

오늘이 할로윈이라 그런가요. Burp 팀에서 좋은 소식을 주었습니다. (어제 밤에 글써놓고 뻗어서 자버렸네요….)

XSS 테스트 벡터들 자주 찾아보곤(또는 공유받거나 눈에 걸리거나..) 하는데 최근에 포스팅 쓸만큼 특별한건 없었고 간단한 트릭정도 몇개 올라와서 정리해서 한번에 글 작성합니다.

피닝 적용이 된 앱들이 좀 있다보니 모바일 앱 분석에선 언피닝이 거의 필수 코스가 되어가고 있습니다. 보통 Frida 코드(짜거나 codeshare에서 가져다 쓰거나)로 우회합니다.

한 2주전쯤인가요? EDB에서 재미있는 문서 하나를 보았습니다. 서로 다르지만 비슷하게 생긴 문자들 이용한 공격 기법인 IDN Homograph attack으로 웹을 공격하는 재미있는 방법이라 정리해서 글로 공유해봅니다.