분류 전체보기 36

[웹모의해킹] 웹 LLM 공격 실습 - PortSwigger Academy(2)

3. Lab: Indirect prompt injection (간접 프롬프트 인젝션)이 실습은 간접 프롬프트 인젝션에 취약합니다. 사용자 carlos는 라이브 채팅을 자주 사용하여 Lightweight "l33t" Leather Jacket 제품에 대해 질문합니다. 실습을 해결하려면, carlos를 삭제하세요. step1) Live chat을 클릭하여 채팅을 시작합니다. step2) 접근 가능한 API를 묻고, 함수에 사용하는 인자를 답변받습니다. 상품정보 API 이외에는 개인정보를 변경하는 API이므로 계정을 먼저 생성해줍니다. step3) Register를 클릭하여 사용할 사용자이름과 비밀번호를 입력한 후 Email client에서 이메일을 확인합니다. step4) Email client에서 이메일을..

[웹모의해킹] 웹 LLM 공격 실습 - PortSwigger Academy(1)

1. Lab: Exploiting LLM APIs with excessive agency (LLM API의 과도한 권한 악용하기)실습을 해결하려면, LLM을 사용하여 사용자 carlos를 삭제하세요. step1) Live chat을 클릭하여 채팅을 시작합니다. step2) 접근 가능한 API를 질문한 결과, 사용하는 API 3가지를 답변했습니다. SQL 구문이 입력되는지 select 구문을 입력하여 확인한 결과, carlos라는 사용자가 출력되었으며 delete 구문을 통해 carlos를 삭제합니다. step3) 문제가 해결된 것을 확인할 수 있습니다.2. Lab: Exploiting vulnerabilities in LLM APIs (LLM API의 취약점 악용하기)이 실습에는 API를 통해 악용할 ..

[웹모의해킹] 웹 LLM 공격(Web LLM Attacks)

웹 LLM 공격이란 무엇인가?웹 LLM( Large Language Models, 대규모 언어 모델) 공격은 공격자가 조직의 LLM 통합 시스템을 악용하여 데이터, API 또는 사용자 정보에 대한 무단 접근을 얻을 때 발생합니다. 이러한 공격의 목표는 악의적인 목적을 달성하기 위해 LLM의 행동을 조작하는 것입니다. 웹 LLM 공격은 크게 세 가지 주요 목표로 분류할 수 있습니다.데이터 검색: LLM이 접근할 수 있는 데이터(프롬프트, 학습 데이터, 연결된 API 등)를 가져옵니다.유해한 행동 트리거: 이러한 API를 통해 SQL 인젝션과 같은 유해한 행동을 유발합니다.다른 사용자 및 시스템에 대한 공격 실행: LLM과 상호작용하는 다른 주체들을 공격합니다.이 취약점을 탐지하는 방법론은 LLM의 모든 입..

[안성] 데이트하기 좋은 찜질방 안성 스타필드 아쿠아필드 후기

이 글은 “내돈내산 포스팅”으로지극히 주관적인 후기입니다.이번에 다녀온 곳은 안성 스타필드에 있는 아쿠아필드 찜질방입니다.스파와 찜질, 워터파크가 혼합되어 있어 남녀노소 즐길 수 있는 찜질방이었습니다.워터파크는 주로 아이 위주로 되어 있다고 하여저희는 스파와 찜질을 이용했습니다. 추석 연휴라 주차하는데 시간이 지체되어오후 4시부터 할인된 가격으로 이용할 수 있는 타임 혜택으로 입장했습니다!(타임혜택은 현장예약만 가능) 이 외에도 다양한 할인혜택(통신사할인, 지역시민할인, 네이버예약할인 등)이 있으니아래 링크를 참고하여 할인된 가격으로 즐겨보시는 것을 추천드립니다 ㅎㅎhttps://www.aquafield-ssg.co.kr/anseong/index.af#/event/eventIndex.af?cate=2&p..

[모바일 모의해킹] Diva application - 5. Insecure Data Storage - Part3

사전준비 https://code-hyoon.tistory.com/34 [모바일 모의해킹] Diva application - 1. Insecure Logging사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다.code-hyoon.tistory.com Insecure Data Storage(안전하지 않은 데이터 저장)개인정보, 로그인 정보, 금융 정보 등 민감한 데이터를 평문(암호화되지 않은 상태)으로 스마트폰의 누구나 접근할 수 있는 공간에 저장할 때 ..

[모바일 모의해킹] Diva application - 4. Insecure Data Storage - Part2

사전준비 https://code-hyoon.tistory.com/34 [모바일 모의해킹] Diva application - 1. Insecure Logging사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다.code-hyoon.tistory.com Insecure Data Storage(안전하지 않은 데이터 저장)개인정보, 로그인 정보, 금융 정보 등 민감한 데이터를 평문(암호화되지 않은 상태)으로 스마트폰의 누구나 접근할 수 있는 공간에 저장할 때 ..

[모바일 모의해킹] Diva application - 3. Insecure Data Storage - Part1

사전준비 https://code-hyoon.tistory.com/34 [모바일 모의해킹] Diva application - 1. Insecure Logging사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다.code-hyoon.tistory.com Insecure Data Storage(안전하지 않은 데이터 저장)개인정보, 로그인 정보, 금융 정보 등 민감한 데이터를 평문(암호화되지 않은 상태)으로 스마트폰의 누구나 접근할 수 있는 공간에 저장할 때 ..

[모바일 모의해킹] Diva application - 2. Hardcoding Issues -Part1

사전준비https://code-hyoon.tistory.com/34 [모바일 모의해킹] Diva application - 1. Insecure Logging사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다.code-hyoon.tistory.com Hardcoding Issues(하드코딩 문제)주로 개발자가 테스트나 개발 과정에서 편의를 위해 임시로 넣어둔 값(민감정보)를 수정하지 않고 그대로 앱을 배포하면서 발생합니다. 이러한 문제를 막기 위해서는 민..

[모바일 모의해킹] Diva application - 1. Insecure Logging

사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다. Releases · frida/fridaClone this repo to build Frida. Contribute to frida/frida development by creating an account on GitHubcode-hyoon.tistory.comDiva Application 로그 띄우기adb shell에 진입하여 logcat 명령어로 로그를 확인합니다.logcat --pid=[Diva..

[모바일 모의해킹] 안드로이드 frida-server 설치

프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다. Releases · frida/fridaClone this repo to build Frida. Contribute to frida/frida development by creating an account on GitHub.github.com단말기의 설치할 경우: arm/arm_64 선택가상환경(Nox 등)의 설치할 경우: x86/x86_64 선택Anaconda 설치: https://www.anaconda.com/download파이썬 가상환경을 만들어주는 프로그램입니다. Download Anaconda Distribution | AnacondaDown..