안녕하세요.


네오이즘입니다.

두 번째 도서인 SQL 인젝션을 출간하였습니다. 2017년 첫 작업을 시작해서 2년이란 시간이 지나고서야 빛을 보게 되었네요. 2018년 초에 원고 작업을 모두 마쳤으나 혼자 원고, 퇴고, 디자인, 출간 모든걸 담당하다 보니 추가로 많은 시간이 소요되었습니다.

본 도서는 SQL 인젝션 취약점의 발생 원리와 공격 기법 자동화에 초점이 맞춰져 있으며 기존의 도서와 차별점으로 MySQL, MSSQL, Oracle 데이터베이스 3종 모두 실습이 가능하도록 구성하였습니다. 

해당 취약점에 대해서 그 동안 SQLMap 또는 단순 취약점 성립 여부만 점검했다면, 취약점의 원리와 공격 기법을 이해하는데 많은 도움이 될 것입니다. 

 동안 많이 기다려주시고 격려해 주신 모든 분들께 감사를 드립니다. 

※ 구매좌표
(네이버에서 "SQL INJECTION 공격 자동화 기법" 검색 가능)

※ 도서정보
- 도서명 : 파이썬 라이브러리를 이용한 SQL INJECTION 공격 자동화 기법
- 저자,출판사 : 저: 유현수 / 오픈시큐어랩BOOKS
- 크기 : 152 x 225(A5신국판)
- 쪽수 : 430
- 출간일 : 2019.03.04
- 샘플 : 첨부파일 참조



※ 도서의 목차

1. 취약점 개요  
1.1. SQL 인젝션 개요  
1.2. SQL 인젝션 취약점  
1.3. SQL 쿼리(Query)  
1.4. DB의 스키마 객체  
1.4.1. MySQL 데이터베이스  
1.4.2. MSSQL 데이터베이스  
1.4.3. Oracle 데이터베이스  
2. 실습환경 구축  
2.1. 실습환경 개요  
2.2. VMware Player  
2.3. CentOS 7 설치  
2.4. Xshell 5 SSH Client  
2.5. APM 웹 서버  
2.6. MSSQL 설치 및 연동  
2.7. Oracle 및 Tomcat 설치  
2.8. QueryBox 설치  
2.9. Python 설치  
3. UNION 기반 SQL 인젝션  
3.1. UNION 공격이란  
3.2. 숫자형 데이터  
3.3. 문자형 데이터  
3.4. 날짜형 데이터  
3.5. 스키마 객체 데이터  
4. SQL 인젝션 대응방안  
4.1. 대응방안 개요  
4.2. 웹 서버 보안설정  
4.3. 시큐어 코딩  
4.3.1. 필터링 기법Keyword Filtering  
4.3.2. 데이터 유형 검사 Data Type Validation  
4.3.3. 프리페어드 스테이트먼트 적용  
4.4. DB의 보안설정  
4.5. 보안장비  
5. 웹 해킹 사이트 실습  
5.1. 웹 해킹 연습 사이트란  
5.2. TESTPHP.VULNWEB.COM  
5.3. TESTASP.VULNWEB.COM  
5.4. DEMO.TESTFIRE.NET  
5.5. PHP.TESTSPARKER.COM  
6. Error 기반 SQL 인젝션  
6.1. 에러 기반 공격이란  
6.2. SQL Server 데이터베이스  
6.3. MySQL 데이터베이스  
6.3.1. Double Query Injection  
6.3.2. XML 내장함수  
6.4. Oracle 에러 기반 공격기법  
6.4.1. Network 내장함수  
6.4.2. XML 내장함수  
6.5. 프리페어드 스테이트먼트 취약사례  
6.6. Insert, Update, Delete 공격기법  
6.6.1. INSERT 구문  
6.6.2. UPDATE 구문  
6.6.3. DELETE 구문  
7. 파이썬 SQL 인젝터  
7.1. SQL 인젝터란  
7.2. HTTP REQUEST  
7.3. 스키마 정보 추출  
7.4. 데이터 추출  
8. 블라인드 SQL 인젝션  
8.1. 블라인드 기법이란  
8.2. 블라인드 공격 기법  
8.3. 데이터 탐색기법  
8.3.1. 순차검색 기법  
8.3.2. 이진검색 기법  
8.3.3. 사전검색 기법  
8.4. 블라인드 공격기법 실습  
9. 파이썬 블라인드 SQL 인젝터  
9.1. 인젝터 개요  
9.2. 참/거짓 판단 함수  
9.3. 이진탐색 알고리즘 함수  
9.4. 데이터 획득  
10. 시간 기반 SQL 인젝션  
10.1. 시간 기반이란  
10.2. 시간 지연 방법  
10.2.1. 시간 지연 내장함수  
10.2.2. 과도한 연산 쿼리  
10.3. 시간 기반 예제 실습  
10.4. 시간 기반 SQL 인젝터  


Posted by n3015m

댓글을 달아주세요:: 네티켓은 기본, 스팸은 사절

ios 모바일 진단을 위해서는 안드로이드 계열과 다른게 아직까지 실물 폰을 제외한 애뮬레이터 등의 다른 진단 방법이 존재하지 않는다.


ios 10.3.3 64비트는 올해 반탈 형식으로 탈옥이 배포되어 사용이 가능하다.



탈옥 방법(생략)


GOBLIN


다운로드

https://g0blin.sticktron.net/


g0blin RC2 official

- fix respring panic

- uninstalls dropbear, you can install OpenSSH instead

- fix Cydia icon not always appearing

- supports more device/OS version combos


g0blin RC1 official

- fixed bad sandbox patch



설치하기

Cydia Impackor를 이용하여 해달 파일을 아이폰에 설치

http://www.cydiaimpactor.com/


설치할때 참고 사항은 ipa 파일을 Drag & Drop 방식으로 하기 때문에 마우스로 끌어다 파일을 GUI 위에다 놓기만 하면 됨, 기타 변조한 앱 설치도 동일한 방식으로 가능




[iOS 업데이트 차단]


iPhone은 탈옥 후에 몇가지 설정을 진행해야 안전하게 사용이 가능하다. 첫번째로 탈옥 이후에는 주기적으로 iOS를 업데이트 팝업창이 나타난다. 실수로 설치를 누르면 원복이 불가하게 된다. 


다행이 인터넷에서 프로파일로 iPhone Update를 차단이 가능하면 프로파일 삭제만 하면 다시 원복된다. 방법은 아래와 같다.


사파리 브라우저에서 아래 링크를 접속

http://www.ipodhacks142.com/download/tvos-11-beta-profile/



[AppStore 카드 정보 삭제]


 설정 > iTunes 및 App Store > Apple ID : xxxx > Apple ID 보기 > 지불정보 > 카드종류 없음으로 변경



Posted by n3015m

댓글을 달아주세요:: 네티켓은 기본, 스팸은 사절


BLOG main image
'네오이즘'의 보안LAB 블로그입니다........... n3oism@gmail.com by n3015m

카테고리

분류 전체보기 (227)
[ HappyDevTool ] (29)
[ HappyToolRelease ] (4)
[Book] (6)
[ Security Studies ] (0)
- CII (2)
- BigData (2)
- Web Hacking (10)
- SQL Injection (25)
- Mobile Security (8)
- Network (6)
- OperatingSystem (4)
- Malware & Reversing (4)
- Phishing (5)
- Compliance (0)
- Programming (13)
- Tools (13)
- IoT (6)
- etc (21)
[Pentration Testing] (3)
[OS X] (4)
[ Security Trends ] (16)
[ Fixing Guideline ] (7)
My Way, My Life (34)
About Me (2)
Total : 272,479
Today : 31 Yesterday : 41