iOS 애플리케이션 취약점을 진단하기 위해서는 아이폰의 탈옥이 필수적입니다. 하지만 최근에는 아래와 같이 ios/listDevices = 3018, Please Update to Xcode 7.3 or later to continue 에러가 발생하면 탈옥 IPA 패키지 파일을 설치가 불가해졌습니다. Impactor 제작자는 곧 패치 버전을 배포한다고 하지만 아직까진 업데이트가 없네요.

 

Cydia Impactor Error

 

이 사실을 인지하지 못하고 오랜만에 iOS 애플리케이션 취약점 진단을 하게 되었는데 정말 난감했습니다. 어떻게 해야 하지 여러 수소문 끝에 A3에 재직중인 친구들한테 가장 정확한 방법을 전달 받아 천만 다행으로 해결하고 프로젝트도 잘 마무리 되었습니다. 같은 고민이신 분들을 위해 몇 가지 방안을 소개합니다.

 

해당 이슈는 Xcode가 업데이트 되어 CodeSign 불가로 발생하는거 같아 CodeSign을 자동으로 해서 설치해 주는 방식을 찾아야 합니다.

 

 

1. 3utools 를 이용한 설치

 

상단 Flash & JB 탭에서 소유한 iPhone 버전에 맞는 JailBreak 툴을 설치합니다. 자동으로 해당 툴에서 CodeSign해서 설치가 진행됩니다. 그동안 Impactor 쓰다가 이 툴을 쓰니 탈옥 설치가 훨씬 수월하네요.

 

- http://www.3u.com/

 

3uTools | The best all-in-one tool for iOS users

The Most Efficient iOS Files & Data Management Tool 3uTools makes it so easy to manage apps, photos, music, ringtones, videos and other multimedia files. Fully view iOS device' s different statuses, including activation, jailbreak, battery and iCloud lock

www.3u.com

online Jailbreak 사이트도 있지만 실제로 해보면 거의 안되는 툴이 대부분이여서 시간이 많이 낭비되더군요.

https://silzee.com/

 

Jailbreak Online by Silzee

Donations Silzee provides a method to install Jailbreak IPA online without Cydia impactor, All Jailbreak methods have found and developed IPAs by Jailbreak hackers, Finding exploit and developing IPA is a really challenging process. All credits must go to

silzee.com

 

2. App 설치하기

 

두번째 문제가 고객사의 개발자가 App을 폰에 설치해 준다면 아무런 문제가 없지만 만약 IPA 파일로 제공된다면 설치에 제약이 발생하게 됩니다. 이럴 경우 IPA 파일을 웹 사이트에서 설치 링크를 제공하는 사이트를 사용하면 됩니다.

 

https://iphone.apkpure.com/ipa-install-online

 

IPA Install Online without Jailbreak - Upload .IPA File (iOS App) for iPhone iPad at AppPure

Upload and install your .IPA file (iOS App) for iPhone iPad without jailbreak and share the iOS app installation easily at AppPure.

iphone.apkpure.com

이 외에도 다양한 사이트가 있습니다. 업로드한 IPA를 인식하지 않는다면 CodeSign기간이 지난게 아니라면 다른 사이트에서 되는 경우가 있으니 참고하면 좋을거 같습니다.

 

급한데로 정리해 봤습니다. 같은 고민이신 분들에게 도움이 되길 바랍니다. 

Posted by n3015m
:

안녕하세요.


네오이즘입니다.

두 번째 도서인 SQL 인젝션을 출간하였습니다. 2017년 첫 작업을 시작해서 2년이란 시간이 지나고서야 빛을 보게 되었네요. 2018년 초에 원고 작업을 모두 마쳤으나 혼자 원고, 퇴고, 디자인, 출간 모든걸 담당하다 보니 추가로 많은 시간이 소요되었습니다.

본 도서는 SQL 인젝션 취약점의 발생 원리와 공격 기법 자동화에 초점이 맞춰져 있으며 기존의 도서와 차별점으로 MySQL, MSSQL, Oracle 데이터베이스 3종 모두 실습이 가능하도록 구성하였습니다. 

해당 취약점에 대해서 그 동안 SQLMap 또는 단순 취약점 성립 여부만 점검했다면, 취약점의 원리와 공격 기법을 이해하는데 많은 도움이 될 것입니다. 

 동안 많이 기다려주시고 격려해 주신 모든 분들께 감사를 드립니다. 

※ 구매좌표
(네이버에서 "SQL INJECTION 공격 자동화 기법" 검색 가능)

※ 도서정보
- 도서명 : 파이썬 라이브러리를 이용한 SQL INJECTION 공격 자동화 기법
- 저자,출판사 : 저: 유현수 / 오픈시큐어랩BOOKS
- 크기 : 152 x 225(A5신국판)
- 쪽수 : 430
- 출간일 : 2019.03.04
- 샘플 : 첨부파일 참조



※ 도서의 목차

1. 취약점 개요  
1.1. SQL 인젝션 개요  
1.2. SQL 인젝션 취약점  
1.3. SQL 쿼리(Query)  
1.4. DB의 스키마 객체  
1.4.1. MySQL 데이터베이스  
1.4.2. MSSQL 데이터베이스  
1.4.3. Oracle 데이터베이스  
2. 실습환경 구축  
2.1. 실습환경 개요  
2.2. VMware Player  
2.3. CentOS 7 설치  
2.4. Xshell 5 SSH Client  
2.5. APM 웹 서버  
2.6. MSSQL 설치 및 연동  
2.7. Oracle 및 Tomcat 설치  
2.8. QueryBox 설치  
2.9. Python 설치  
3. UNION 기반 SQL 인젝션  
3.1. UNION 공격이란  
3.2. 숫자형 데이터  
3.3. 문자형 데이터  
3.4. 날짜형 데이터  
3.5. 스키마 객체 데이터  
4. SQL 인젝션 대응방안  
4.1. 대응방안 개요  
4.2. 웹 서버 보안설정  
4.3. 시큐어 코딩  
4.3.1. 필터링 기법Keyword Filtering  
4.3.2. 데이터 유형 검사 Data Type Validation  
4.3.3. 프리페어드 스테이트먼트 적용  
4.4. DB의 보안설정  
4.5. 보안장비  
5. 웹 해킹 사이트 실습  
5.1. 웹 해킹 연습 사이트란  
5.2. TESTPHP.VULNWEB.COM  
5.3. TESTASP.VULNWEB.COM  
5.4. DEMO.TESTFIRE.NET  
5.5. PHP.TESTSPARKER.COM  
6. Error 기반 SQL 인젝션  
6.1. 에러 기반 공격이란  
6.2. SQL Server 데이터베이스  
6.3. MySQL 데이터베이스  
6.3.1. Double Query Injection  
6.3.2. XML 내장함수  
6.4. Oracle 에러 기반 공격기법  
6.4.1. Network 내장함수  
6.4.2. XML 내장함수  
6.5. 프리페어드 스테이트먼트 취약사례  
6.6. Insert, Update, Delete 공격기법  
6.6.1. INSERT 구문  
6.6.2. UPDATE 구문  
6.6.3. DELETE 구문  
7. 파이썬 SQL 인젝터  
7.1. SQL 인젝터란  
7.2. HTTP REQUEST  
7.3. 스키마 정보 추출  
7.4. 데이터 추출  
8. 블라인드 SQL 인젝션  
8.1. 블라인드 기법이란  
8.2. 블라인드 공격 기법  
8.3. 데이터 탐색기법  
8.3.1. 순차검색 기법  
8.3.2. 이진검색 기법  
8.3.3. 사전검색 기법  
8.4. 블라인드 공격기법 실습  
9. 파이썬 블라인드 SQL 인젝터  
9.1. 인젝터 개요  
9.2. 참/거짓 판단 함수  
9.3. 이진탐색 알고리즘 함수  
9.4. 데이터 획득  
10. 시간 기반 SQL 인젝션  
10.1. 시간 기반이란  
10.2. 시간 지연 방법  
10.2.1. 시간 지연 내장함수  
10.2.2. 과도한 연산 쿼리  
10.3. 시간 기반 예제 실습  
10.4. 시간 기반 SQL 인젝터  


Posted by n3015m
:

BLOG main image
'네오이즘'의 보안LAB 블로그입니다........... n3oism@gmail.com by n3015m

카테고리

분류 전체보기 (228)
[ HappyDevTool ] (29)
[ HappyToolRelease ] (4)
[Book] (6)
[ Security Studies ] (0)
- CII (2)
- BigData (2)
- Web Hacking (10)
- SQL Injection (25)
- Mobile Security (9)
- Network (6)
- OperatingSystem (4)
- Malware & Reversing (4)
- Phishing (5)
- Compliance (0)
- Programming (13)
- Tools (13)
- IoT (6)
- etc (21)
[Pentration Testing] (3)
[OS X] (4)
[ Security Trends ] (16)
[ Fixing Guideline ] (7)
My Way, My Life (34)
About Me (2)

최근에 올라온 글

최근에 달린 댓글

최근에 받은 트랙백

Total :
Today : Yesterday :