호기심천국

1. Lab: Exploiting LLM APIs with excessive agency (LLM API의 과도한 권한 악용하기)실습을 해결하려면, LLM을 사용하여 사용자 carlos를 삭제하세요. step1) Live chat을 클릭하여 채팅을 시작합니다. step2) 접근 가능한 API를 질문한 결과, 사용하는 API 3가지를 답변했습니다. SQL 구문이 입력되는지 select 구문을 입력하여 확인한 결과, carlos라는 사용자가 출력되었으며 delete 구문을 통해 carlos를 삭제합니다. step3) 문제가 해결된 것을 확인할 수 있습니다.2. Lab: Exploiting vulnerabilities in LLM APIs (LLM API의 취약점 악용하기)이 실습에는 API를 통해 악용할 ..

웹 LLM 공격이란 무엇인가?웹 LLM( Large Language Models, 대규모 언어 모델) 공격은 공격자가 조직의 LLM 통합 시스템을 악용하여 데이터, API 또는 사용자 정보에 대한 무단 접근을 얻을 때 발생합니다. 이러한 공격의 목표는 악의적인 목적을 달성하기 위해 LLM의 행동을 조작하는 것입니다. 웹 LLM 공격은 크게 세 가지 주요 목표로 분류할 수 있습니다.데이터 검색: LLM이 접근할 수 있는 데이터(프롬프트, 학습 데이터, 연결된 API 등)를 가져옵니다.유해한 행동 트리거: 이러한 API를 통해 SQL 인젝션과 같은 유해한 행동을 유발합니다.다른 사용자 및 시스템에 대한 공격 실행: LLM과 상호작용하는 다른 주체들을 공격합니다.이 취약점을 탐지하는 방법론은 LLM의 모든 입..

이 글은 “내돈내산 포스팅”으로지극히 주관적인 후기입니다.이번에 다녀온 곳은 안성 스타필드에 있는 아쿠아필드 찜질방입니다.스파와 찜질, 워터파크가 혼합되어 있어 남녀노소 즐길 수 있는 찜질방이었습니다.워터파크는 주로 아이 위주로 되어 있다고 하여저희는 스파와 찜질을 이용했습니다. 추석 연휴라 주차하는데 시간이 지체되어오후 4시부터 할인된 가격으로 이용할 수 있는 타임 혜택으로 입장했습니다!(타임혜택은 현장예약만 가능) 이 외에도 다양한 할인혜택(통신사할인, 지역시민할인, 네이버예약할인 등)이 있으니아래 링크를 참고하여 할인된 가격으로 즐겨보시는 것을 추천드립니다 ㅎㅎhttps://www.aquafield-ssg.co.kr/anseong/index.af#/event/eventIndex.af?cate=2&p..

사전준비 https://code-hyoon.tistory.com/34 [모바일 모의해킹] Diva application - 1. Insecure Logging사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다.code-hyoon.tistory.com Insecure Data Storage(안전하지 않은 데이터 저장)개인정보, 로그인 정보, 금융 정보 등 민감한 데이터를 평문(암호화되지 않은 상태)으로 스마트폰의 누구나 접근할 수 있는 공간에 저장할 때 ..

사전준비 https://code-hyoon.tistory.com/34 [모바일 모의해킹] Diva application - 1. Insecure Logging사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다.code-hyoon.tistory.com Insecure Data Storage(안전하지 않은 데이터 저장)개인정보, 로그인 정보, 금융 정보 등 민감한 데이터를 평문(암호화되지 않은 상태)으로 스마트폰의 누구나 접근할 수 있는 공간에 저장할 때 ..

사전준비 https://code-hyoon.tistory.com/34 [모바일 모의해킹] Diva application - 1. Insecure Logging사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다.code-hyoon.tistory.com Insecure Data Storage(안전하지 않은 데이터 저장)개인정보, 로그인 정보, 금융 정보 등 민감한 데이터를 평문(암호화되지 않은 상태)으로 스마트폰의 누구나 접근할 수 있는 공간에 저장할 때 ..

사전준비https://code-hyoon.tistory.com/34 [모바일 모의해킹] Diva application - 1. Insecure Logging사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다.code-hyoon.tistory.com Hardcoding Issues(하드코딩 문제)주로 개발자가 테스트나 개발 과정에서 편의를 위해 임시로 넣어둔 값(민감정보)를 수정하지 않고 그대로 앱을 배포하면서 발생합니다. 이러한 문제를 막기 위해서는 민..

사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다. Releases · frida/fridaClone this repo to build Frida. Contribute to frida/frida development by creating an account on GitHubcode-hyoon.tistory.comDiva Application 로그 띄우기adb shell에 진입하여 logcat 명령어로 로그를 확인합니다.logcat --pid=[Diva..

프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다. Releases · frida/fridaClone this repo to build Frida. Contribute to frida/frida development by creating an account on GitHub.github.com단말기의 설치할 경우: arm/arm_64 선택가상환경(Nox 등)의 설치할 경우: x86/x86_64 선택Anaconda 설치: https://www.anaconda.com/download파이썬 가상환경을 만들어주는 프로그램입니다. Download Anaconda Distribution | AnacondaDown..

루팅을 하는 이유안드로이드 운영체제에서 최상위 권한인 루트권한을 얻어 해당 기기에 걸린 모든 제약을 풀어버리는 행위입니다. 시스템을 앱을 강제로 삭제하거나 해킹 프로그램을 설치하는 등 기존에는 시도할 수 없던 것을 할 수 있습니다. 사용한 루팅 기종Android 기종모델명: Galaxy S10e모델번호: SM-G970N통신사: LG U+ 0. 휴대폰 사전 설정빌드번호를 연속으로 클릭하면 개발자 옵션이 활성화됩니다.개발자 옵션에서 OEM 잠금 해제, USB 디버깅을 활성화 시켜줍니다.※ OEM 잠금 해제가 보이지 않을 경우, 와이파이를 연결해준 뒤 개발자 옵션 활성화를 재시도하면 됩니다. 1. 사용할 프로그램 설치 및 파일 다운로드순정펌웨어 파일 다운로드: https://samfw.com/1) 루팅할 기기..