앵하니의 더 나은 보안

서론 ChatGPT는 1, 2, 3, 3.5, 4… 버전을 거쳐가며 문제점으로 지적됐던 정보의 신뢰성마저 정복해 나가고 있음 실제로 ChatGPT-3.5 로 미국의 의사, 변호사 시험을 통과했고, ChatGPT-4로는 변호사 시험 응시자 중 상위 10프로의 성적을 냈다고 함 ChatGPT 등장에 환호하는 사람도 있지만 모든 도구가 그렇듯 악용될 소지에 대한 우려도 제기됨 악용뿐만 아니라 이제는 사람의 업무 영역, 필요성까지 침해되는 것 아니냐며 일자리에 대한 우려도 제기되고 있음 다양한 분야에 접목되면서 활용에 한계가 없다는 걸 보여줌 유튜버 침착맨은 ‘마치 컴퓨터가 처음 나왔을 때처럼 혁신적인 느낌을 받았다’ 라고도 함 본론 ChatGPT 악용에 대한 우려 단순히 단어 몇개로 사람의 의도가 좋은지 나쁜..

Deeplink는 갑자기 왜?금취분평 2023 기준에 새로 '모바일 DeepLink 도용 취약점'이라는 체크리스트가 나왔는데, 여태 진단 항목에 없었기에 딥링크에 대한 취약점 진단을 수행해본 적이 없다. 개념도 사실 제대로 안잡혀있고.그래서 이번 기회에 개념부터 활용, 더 나아가 심화 영역까지 전반적으로다가 훑어보고자 한다.아니 훑어보는거 말고 완전 씹고 뜯고 맛보고 즐겨서 너덜너덜 할 때까지 조져보자렡ㅊ쓰 기맅Deeplink? 특정 주소 혹은 값을 입력하면 앱이 실행되거나 앱 내 특정 화면으로 이동시키는 링크 라고 하지만 알기 쉽게 설명하자면, 쿠팡 광고 링크 같은거다.인스타나 유튜브 같은데서 ‘어쩌구 저쩌구 한 썰’ 같은 링크를 타고 들어가면 꼭 쿠팡 파트너스 광고가 있는데, 이 광고를 클릭하면 쿠팡..

개요 테스트 폰, 아이폰 7+의 펌웨어 수명이 거의 다 돼서 앱 테스트를 해야하는데 못하는 상황에 이르렀음 그래서 펌웨어 업그레이드를 해야하는데, 최신 버전으로 업그레이드 하자니, 탈옥 과정이 너무 번잡스러움 3utools로 탈옥하면 간단하기 때문에 3utools에서 탈옥할 수 있는 버전을 특정해서 업그레이드 해보고자 함 itunes를 이용한 다운그레이드 우선 간단하게 찾아봤을땐 펌웨어만 있으면 itunes로 다운그레이드가 가능하다고 해서 14.6 버전의 펌웨어를 구했다. 그러고 단말기 연결, itunes에서 연결 확인 후 shift키를 누른채 ‘초기화’ 버튼 클릭 클릭 후 설치한 14.6 버전의 펌웨어를 찾아 설치 진행 하면 요런 에러가 뜬다. 찾아보니 애초에 unsinged 펌웨어는 shsh 어쩌구 ..

서론 왜인진 모르겠지만 2021년부터 OWASP TOP 10으로 SSRF가 등재되면서 SSRF 취약점 떡상의 경종을 울렸다. 근데 취약점 진단하면서 SSRF 취약점은 발견한 적이 없어서 한번 정리해보고자 한다. 본론 SSRF? CSRF는 불특정 다수의 clinet에 악성 스크립트를 노출시키는 것인 반면, SSRF는 서버의 시스템에 악성 스크립트를 노출시켜 특정 행위를 유발, DMZ에서 접근 불가한 데이터까지 외부에서 접근해 정보를 탈취해 낼 수 있는 취약점이다. 그렇다고 방식이 CSRF와 유사하진 않다. 보통 파라미터 값으로 해당 웹 서버 시스템의 루프백이나 내부 IP, 내부 도메인 URI 혹은 그 일부를 전달해 데이터를 탈취한다. 그래서 점검 방법은? 어디서, 어떻게 발견할 수 있는 취약점인디? 단순히..