의미없는 블로그

js 파일들 보면 AES를 쓰는것 같고 /js/asd.js 보면 aesKey 가 평문으로 노출된다 그 밖에 ECB 모드 쓰는것 유추해볼 수 있음 AES 암호화값 얻기위해 로그인(test/test) 해보면 아래와 같이 암호화된 값 확인할 수 있음 AES 복호화 사이트에서 복호화 가능 (aes.online-domain-tools.com/)

톰캣이구 OPTIONS, TRACE 메소드 둘다 응답값 헤더에 메소드 떠서 취약점으로 잡혔었다 담당자가 조치했다고 하는데 OPTIONS 날리면 계속 메소드 뜨고 TRACE 는 메소드는 안뜨는데 TRACE가 활성화 되어버림 우리 조치가이드에 방법이 2개 있는데 조치가이드가 좀 잘못됐었다 담당자는 그대로 따라한거라서 잘못 없음.. OPTIONS, TRACE 둘다 메소드 리스트 노출될 경우 첫번째가 /conf/web.xml 에 메소드 제한 설정하는거고 두번째가 /conf/server.xml 에 allowTrace="true" 설정하는거다 테스트-톰캣 8.0.12, 9.0.12 디폴트로 OPTIONS, TRACE 전송 시 메소드 리스트 뜬다 /conf/web.xml 에서 메소드 제한 설정 아래줄에 이게 중요 이..

톰캣 서버고 첨에 OPTIONS 날릴때 Allow 뜨는것 때문에 취약점 잡혔다 담당자가 조치했다고 하는데 응답코드만 403 으로 바뀌고 달라진게 없음 원래 톰캣 OPTIONS 조치방안 psage.tistory.com/entry/HTTP-Method-%EC%A0%9C%ED%95%9C 1. web.xml 에 아래와 같이 설정 2. 스프링 쓰는 경우 web.xml 에 아래와 같이 추가 설정 3. 톰캣 재부팅 이렇게 했는데도 조치가 안돼서 담당자한테 /conf/web.xml 외에도 /webapps/WEB-INF/web.xml 에도 다 설정해보라고 했는데 그래도 안돼서 미제사건으로 남음 403을 에러페이지 설정하면 200뜨면서 안나오려나 했는데 테스트 해보니 톰캣은 403 에러페이지 설정해도 응답코드는 403으로..

아파치 코도바라고 하이브리드앱 개발할때 쓰는 오픈소스 프레임워크가 있다 이걸로 앱 만들어져 있는데 담당자가 난독화 했대서 깠더니 진짜 쬐끔 일부만 난독화 되어있어서 이걸 조치 했다고 해야하나 안했다고 해야하나.. 고민에 빠짐 하이브리드앱이 웹으로 개발한담에 오픈소스 크로스 프레임워크(ex. 아파치 코도바) 사용해서 앱으로 배포하는 거라는데 그래서 앱은 웹 페이지를 출력해주기 위한 도구일 뿐이라 원래 소스가 별로 없다고 한다(feat. 현우씨) 사실 그래서 중요 기능이 없다고 판단되면 난독화 안해도 상관없다고 하는데 난 그런거 모르고 잡았으니깐ㅋ 무튼 소스 거의 대부분이 Cordova 관련이고 나머지 부분중에 일부만 난독화가 적용되어있다 코도바 소스는 어차피 오픈소스라 난독화 안해도 될것 같기도 해서 찾아..

보호되어 있는 글입니다.

1. 압축 풀어서 환경변수에 등록하고 실행해봄 (제어판 - 시스템 - 고급 시스템 설정 - 환경 변수 - 시스템 변수 - Path) 2. 폰 설정에서 빌드번호 연타하면 개발자 모드 열린다 3. USB 디버깅 허용하기 4. 폰이랑 PC 연결하고 adb devices 해보면 연결됨 5. apk 있는 위치로 이동해서 adb install [apk 파일명] 하면 폰에 설치됨 6. adb shell 하면 폰 내부로 들어갈 수 있고 su 하면 root 권한 된다 7. logcat -d > log.txt 하면 로그파일 생성된다 8. adb pull [폰 내부 파일] [PC에 복붙할 위치] 하면 PC로 빼올 수 있음

보호되어 있는 글입니다.