의미없는 블로그

Tomcat 도 비슷하겠지만 무튼 TLSv1.2 만 사용하는거랑, A등급의 Cipher Suites 만 사용하는게 조건 nmap --script ssl-enum-ciphers www.test.com 했을때 SSLv3 쓰고있고 TLSv1.2 에서는 C등급의 Cipher Suites 존재 nginx.conf 에서 아래와 같이 설정

보통 서버 버전정보 나와서 잡는 취약점인데 400, 505는 web.xml에 에러페이지 설정해도 안될때가 있당께 Tomcat 7.0.55 버전 이상이면 Tomcat/conf/server.xml 에 아래와 같이 설정하면 버전정보 나오는건 막을 수 있다

응봉산은 야경이 멋있기로 유명하다 이름만 산이지 그냥 동네 산책 수준이다 정상까지 15~20분? 가는길이 어둡고 컴컴하다 좀 으슥하고 무서움 공사하다 만듯한 자재들도 널부러져 있고.. 암벽등반공원 쪽으로 해서 올라갔는데 지금 생각해보면 입구 초입에서 만난 그 고양이.. 고양이 보고 소스라치게 놀랐을 때 그때 멈췄어야 했다 여기 사는 주민들은 루트를 다 알고 계시겠지만 응봉산 입문자로서는 어두컴컴한 길 때문에 정상을 여러번 착각하게 된다 팔각정을 볼 때까지 올라야 한다 정상에서 야경 구경하고 사진 찍고 잘 놀았으면 절대 팔각정 맞은편 계단길로는 내려가지 말것.. 왜 응봉산이 그토록 어두컴컴했는지 후레시 켜는 순간 한여름밤의 저주가 시작된다.. 응봉산의 매봉이 매미매가 아닌가 싶을정도로 (원래는 매사냥을 하..

이거 플러그인 깔면 사용자별로 명령어 제한 같은거 할 수 있음 여기보고 따라함→ https://www.openpolicyagent.org/docs/v0.11.0/docker-authorization/ 정책 폴더(/etc/docker/policies)를 만들고 정책 파일(authz.rego)에 모두 허용 allow=true 설정하였음 docker plugin install 명령으로 플러그인을 다운로드 하였음 opa-docker-authz 라는 플러그인인데 얘도 Authorization-Plugin 인듯 (잉포섹 가이드에는 예시로 AuthZPlugin이 있는데 얘는 자료가 잘 안보이네) 다 설치되면 docker plugin ls 명령으로 확인할 수 있음 플러그인 ID값은 ea21cb79b31c 이다 이제 도..

잉포섹 도커 가이드 ↑ 이거밖에 없는거니 정말 이거만 따라하는거니 [1.2. 인증-권한 제어] 이 항목은 아래 두가지로 나뉜다 - 불필요한 사용자 확인 - 인증-권한 제어 플러그인 사용 불필요한 사용자 확인은 docker group에 불필요한 사용자 있는지 보는거 docker group에 등록된 사용자는 docker 명령어 사용할 수 있으니껜 계정 있다고 취약 때릴게 아니라 인터뷰로 가야겠네 인증-권한 제어 플러그인 사용은 도커 플러그인중에 authorization-plugin 사용하라는 건데 이거 사용하면 아래처럼 특정 명령어 사용 가능하거나 막거나 할 수 있는듯 하다 근데 어차피 계정 한개면 명령어 제어할 필요 없지 않나? (참고 : https://runebook.dev/ko/docs/docker/e..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

MobSF 라고 Android/iOS 모바일 정적분석 도구가 있다 걍 apk/ipa 파일 던지면 앱스캔처럼 분석 결과 뽑아주는 것 칼리에 까는법, 윈도우에 까는법 등등 여러 방법들 있는데 나는 도커가 있어서 도커에 깔았다 (우분투에 도커 설치 : saltlee.tistory.com/124) 도커 서비스 실행 mobsf 이미지 다운로드 mobsf 컨테이너 생성 및 실행 IP에 포트 8000번으로 접속하면 서비스 뜬다 apk/ipa 걍 드래그해서 던지면 됨~ (다음에 다시 사용할땐 VM 재부팅 해서 도커 컨테이너 다시 실행시켜야 되네 > sudo service docker restart 하고 해봐) 좀 기다리면 분석 결과 나오고 왼쪽 아래에 PDF로 저장할 수도 있음 결과 보면 일단 앱 권한들 어따 쓰는건지..