호기심천국

오늘은 강남역과 신논현역 사이에새로 생긴 타코벨을 가보았습니다. 타코벨은 미국에 있는 멕시코 요리 체인점이라고 합니다! 타코벨 더강남서울 강남구 테헤란로1길 48 ELS빌딩 1층영업시간: 10:00 ~ 22:00정기휴무X 매장 입구 강남 CGV 건물 뒤쪽에 위치하고 있어영화보러 갈 때도 포장해가도 좋을 것 같습니당메뉴 및 할인 키오스크로 주문할 수 있으며,타임할인이 있습니다.2PM~5PM 해피아워, 6PM~9PM 비어세트할인점심시간 할인이 없는게 좀 아쉬웠어요 ㅜㅜ 박스 메뉴, 타코벨 팩과 단품 메뉴들로 구성되어 있습니다.한 끼니로 먹기 위해서는단품보단 박스나 타코벨 팩을 먹는 것을 추천드립니다.단품 하나는 간식정도..? 타코벨팩은 여럿이서 먹을 때 시키기 좋습니다!매장내부매장 내부는 바 형식으로 되있는..

3. Lab: Indirect prompt injection (간접 프롬프트 인젝션)이 실습은 간접 프롬프트 인젝션에 취약합니다. 사용자 carlos는 라이브 채팅을 자주 사용하여 Lightweight "l33t" Leather Jacket 제품에 대해 질문합니다. 실습을 해결하려면, carlos를 삭제하세요. step1) Live chat을 클릭하여 채팅을 시작합니다. step2) 접근 가능한 API를 묻고, 함수에 사용하는 인자를 답변받습니다. 상품정보 API 이외에는 개인정보를 변경하는 API이므로 계정을 먼저 생성해줍니다. step3) Register를 클릭하여 사용할 사용자이름과 비밀번호를 입력한 후 Email client에서 이메일을 확인합니다. step4) Email client에서 이메일을..

1. Lab: Exploiting LLM APIs with excessive agency (LLM API의 과도한 권한 악용하기)실습을 해결하려면, LLM을 사용하여 사용자 carlos를 삭제하세요. step1) Live chat을 클릭하여 채팅을 시작합니다. step2) 접근 가능한 API를 질문한 결과, 사용하는 API 3가지를 답변했습니다. SQL 구문이 입력되는지 select 구문을 입력하여 확인한 결과, carlos라는 사용자가 출력되었으며 delete 구문을 통해 carlos를 삭제합니다. step3) 문제가 해결된 것을 확인할 수 있습니다.2. Lab: Exploiting vulnerabilities in LLM APIs (LLM API의 취약점 악용하기)이 실습에는 API를 통해 악용할 ..

웹 LLM 공격이란 무엇인가?웹 LLM( Large Language Models, 대규모 언어 모델) 공격은 공격자가 조직의 LLM 통합 시스템을 악용하여 데이터, API 또는 사용자 정보에 대한 무단 접근을 얻을 때 발생합니다. 이러한 공격의 목표는 악의적인 목적을 달성하기 위해 LLM의 행동을 조작하는 것입니다. 웹 LLM 공격은 크게 세 가지 주요 목표로 분류할 수 있습니다.데이터 검색: LLM이 접근할 수 있는 데이터(프롬프트, 학습 데이터, 연결된 API 등)를 가져옵니다.유해한 행동 트리거: 이러한 API를 통해 SQL 인젝션과 같은 유해한 행동을 유발합니다.다른 사용자 및 시스템에 대한 공격 실행: LLM과 상호작용하는 다른 주체들을 공격합니다.이 취약점을 탐지하는 방법론은 LLM의 모든 입..

사전준비 https://code-hyoon.tistory.com/34 [모바일 모의해킹] Diva application - 1. Insecure Logging사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다.code-hyoon.tistory.com Insecure Data Storage(안전하지 않은 데이터 저장)개인정보, 로그인 정보, 금융 정보 등 민감한 데이터를 평문(암호화되지 않은 상태)으로 스마트폰의 누구나 접근할 수 있는 공간에 저장할 때 ..

사전준비 https://code-hyoon.tistory.com/34 [모바일 모의해킹] Diva application - 1. Insecure Logging사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다.code-hyoon.tistory.com Insecure Data Storage(안전하지 않은 데이터 저장)개인정보, 로그인 정보, 금융 정보 등 민감한 데이터를 평문(암호화되지 않은 상태)으로 스마트폰의 누구나 접근할 수 있는 공간에 저장할 때 ..

사전준비 https://code-hyoon.tistory.com/34 [모바일 모의해킹] Diva application - 1. Insecure Logging사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다.code-hyoon.tistory.com Insecure Data Storage(안전하지 않은 데이터 저장)개인정보, 로그인 정보, 금융 정보 등 민감한 데이터를 평문(암호화되지 않은 상태)으로 스마트폰의 누구나 접근할 수 있는 공간에 저장할 때 ..

사전준비https://code-hyoon.tistory.com/34 [모바일 모의해킹] Diva application - 1. Insecure Logging사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다.code-hyoon.tistory.com Hardcoding Issues(하드코딩 문제)주로 개발자가 테스트나 개발 과정에서 편의를 위해 임시로 넣어둔 값(민감정보)를 수정하지 않고 그대로 앱을 배포하면서 발생합니다. 이러한 문제를 막기 위해서는 민..

사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다. Releases · frida/fridaClone this repo to build Frida. Contribute to frida/frida development by creating an account on GitHubcode-hyoon.tistory.comDiva Application 로그 띄우기adb shell에 진입하여 logcat 명령어로 로그를 확인합니다.logcat --pid=[Diva..

프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다. Releases · frida/fridaClone this repo to build Frida. Contribute to frida/frida development by creating an account on GitHub.github.com단말기의 설치할 경우: arm/arm_64 선택가상환경(Nox 등)의 설치할 경우: x86/x86_64 선택Anaconda 설치: https://www.anaconda.com/download파이썬 가상환경을 만들어주는 프로그램입니다. Download Anaconda Distribution | AnacondaDown..