호기심천국

[수원] 광교호수공원 가족캠핑장 오토캠핑 후기(+꿀팁)

이 글은 “내돈내산 포스팅”으로지극히 주관적인 후기입니다.캠핑하기 좋은 가을이 왔기에 저는 이번에 지자체에서 운영하는광교호수공원 가족캠핑장에 다녀왔습니다.(반려동물 동반가능, 사이트 내 주차가능)참고로 저는 캠핑 2회차인 캠린이입니다. https://place.map.kakao.com/22377944 광교호수공원 가족캠핑장경기 수원시 영통구 광교호수로 57place.map.kakao.com 예약은 아래 사이트에서 로그인 후 이용 가능하며,추첨예약과 선착순예약 두 가지 방법으로 예약 가능합니다. 추첨예약실시간예약 접수기간 매월 1일 ~ 15일(다음달 추첨접수) 매월 17일 오전 11시부터(주말, 공휴일 일 경우 다음날 오전 11시) 추첨일자 매월 16일 추첨(주말, 공휴일 일 경우 다음날 추첨)※수원시 ..

[웹모의해킹] 웹 LLM 공격 실습 - PortSwigger Academy(2)

3. Lab: Indirect prompt injection (간접 프롬프트 인젝션)이 실습은 간접 프롬프트 인젝션에 취약합니다. 사용자 carlos는 라이브 채팅을 자주 사용하여 Lightweight "l33t" Leather Jacket 제품에 대해 질문합니다. 실습을 해결하려면, carlos를 삭제하세요. step1) Live chat을 클릭하여 채팅을 시작합니다. step2) 접근 가능한 API를 묻고, 함수에 사용하는 인자를 답변받습니다. 상품정보 API 이외에는 개인정보를 변경하는 API이므로 계정을 먼저 생성해줍니다. step3) Register를 클릭하여 사용할 사용자이름과 비밀번호를 입력한 후 Email client에서 이메일을 확인합니다. step4) Email client에서 이메일을..

1. Lab: Exploiting LLM APIs with excessive agency (LLM API의 과도한 권한 악용하기)실습을 해결하려면, LLM을 사용하여 사용자 carlos를 삭제하세요. step1) Live chat을 클릭하여 채팅을 시작합니다. step2) 접근 가능한 API를 질문한 결과, 사용하는 API 3가지를 답변했습니다. SQL 구문이 입력되는지 select 구문을 입력하여 확인한 결과, carlos라는 사용자가 출력되었으며 delete 구문을 통해 carlos를 삭제합니다. step3) 문제가 해결된 것을 확인할 수 있습니다.2. Lab: Exploiting vulnerabilities in LLM APIs (LLM API의 취약점 악용하기)이 실습에는 API를 통해 악용할 ..

웹 LLM 공격이란 무엇인가?웹 LLM( Large Language Models, 대규모 언어 모델) 공격은 공격자가 조직의 LLM 통합 시스템을 악용하여 데이터, API 또는 사용자 정보에 대한 무단 접근을 얻을 때 발생합니다. 이러한 공격의 목표는 악의적인 목적을 달성하기 위해 LLM의 행동을 조작하는 것입니다. 웹 LLM 공격은 크게 세 가지 주요 목표로 분류할 수 있습니다.데이터 검색: LLM이 접근할 수 있는 데이터(프롬프트, 학습 데이터, 연결된 API 등)를 가져옵니다.유해한 행동 트리거: 이러한 API를 통해 SQL 인젝션과 같은 유해한 행동을 유발합니다.다른 사용자 및 시스템에 대한 공격 실행: LLM과 상호작용하는 다른 주체들을 공격합니다.이 취약점을 탐지하는 방법론은 LLM의 모든 입..

이 글은 “내돈내산 포스팅”으로지극히 주관적인 후기입니다.이번에 다녀온 곳은 안성 스타필드에 있는 아쿠아필드 찜질방입니다.스파와 찜질, 워터파크가 혼합되어 있어 남녀노소 즐길 수 있는 찜질방이었습니다.워터파크는 주로 아이 위주로 되어 있다고 하여저희는 스파와 찜질을 이용했습니다. 추석 연휴라 주차하는데 시간이 지체되어오후 4시부터 할인된 가격으로 이용할 수 있는 타임 혜택으로 입장했습니다!(타임혜택은 현장예약만 가능) 이 외에도 다양한 할인혜택(통신사할인, 지역시민할인, 네이버예약할인 등)이 있으니아래 링크를 참고하여 할인된 가격으로 즐겨보시는 것을 추천드립니다 ㅎㅎhttps://www.aquafield-ssg.co.kr/anseong/index.af#/event/eventIndex.af?cate=2&p..

사전준비 https://code-hyoon.tistory.com/34 [모바일 모의해킹] Diva application - 1. Insecure Logging사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다.code-hyoon.tistory.com Insecure Data Storage(안전하지 않은 데이터 저장)개인정보, 로그인 정보, 금융 정보 등 민감한 데이터를 평문(암호화되지 않은 상태)으로 스마트폰의 누구나 접근할 수 있는 공간에 저장할 때 ..

사전준비 https://code-hyoon.tistory.com/34 [모바일 모의해킹] Diva application - 1. Insecure Logging사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다.code-hyoon.tistory.com Insecure Data Storage(안전하지 않은 데이터 저장)개인정보, 로그인 정보, 금융 정보 등 민감한 데이터를 평문(암호화되지 않은 상태)으로 스마트폰의 누구나 접근할 수 있는 공간에 저장할 때 ..

사전준비 https://code-hyoon.tistory.com/34 [모바일 모의해킹] Diva application - 1. Insecure Logging사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다.code-hyoon.tistory.com Insecure Data Storage(안전하지 않은 데이터 저장)개인정보, 로그인 정보, 금융 정보 등 민감한 데이터를 평문(암호화되지 않은 상태)으로 스마트폰의 누구나 접근할 수 있는 공간에 저장할 때 ..

사전준비https://code-hyoon.tistory.com/34 [모바일 모의해킹] Diva application - 1. Insecure Logging사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다.code-hyoon.tistory.com Hardcoding Issues(하드코딩 문제)주로 개발자가 테스트나 개발 과정에서 편의를 위해 임시로 넣어둔 값(민감정보)를 수정하지 않고 그대로 앱을 배포하면서 발생합니다. 이러한 문제를 막기 위해서는 민..

사전 준비Frida-server 실행https://code-hyoon.tistory.com/33 [모바일 모의해킹] 안드로이드 frida-server 설치프로그램 설치Frida-server 다운로드: https://github.com/frida/frida/releases단말기에 설치할 Frida 서버입니다. Releases · frida/fridaClone this repo to build Frida. Contribute to frida/frida development by creating an account on GitHubcode-hyoon.tistory.comDiva Application 로그 띄우기adb shell에 진입하여 logcat 명령어로 로그를 확인합니다.logcat --pid=[Diva..