การปิดชื่อ NGINX และ VERSION ที่ตอบกลับมาจากเครื่องให้บริการ

เมื่อเกิดการประเมินช่องโหว่บางครั้งเครื่องให้บริการที่ติดตั้ง Nginx เพื่อให้บริการเว็บไซต์หรือ Port หมายเลขอื่น ๆ ที่เกี่ยวข้องกับ HTTP response ตอบกลับค่า nginx และเปิดเผยเลข version ต่าง ๆ นั้น สามารถปิดได้หรือแก้เป็นค่าที่ต้องการได้

อ่านเพิ่มเติม

การ Export ข้อมูล Public Key ของ Burp Suite

เราสามารถตรวจสอบ หรือข้อความของ Public Key ของ Certificate ที่ Export มาจากโปรแกรม Proxy อย่าง Burp Suite โดยใช้โปรแกรม OpenSSL ทั้ง Windows และ Kali Linux โดยไม่อยากนัก เพื่อนำไปสู่การเตรียมการโจมตีอย่างเช่นการ Bypass Certificate Pining ของ Mobile Application ได้เช่นกัน

อ่านเพิ่มเติม

การสร้าง Android Emulator แบบไม่หน่วงเครื่อง ด้วย Android Studio Command line tools only

ได้ฤกษ์จะหัดทำ Android Mobile App Pentest Lab ซักที ก็ดันไม่มีมือถือจริงๆที่เอาไว้ root ทำ Test ได้ ครั้นอุส่าห์ไปตามหาจนได้เครื่องมาก็ดันเป็น Android Version ใหม่ที่จะไปหา Firmware root ก็ยากเย็น หรือพอพยายาม root ก็ไม่ผ่านซักที ใจร้อนมือลั่นทำพลาดก็ brick เปิดเครื่องไม่ติดอีก พอมาลง Android Studio เพื่อใช้ Emulator ตอนเปิดใช้ทีคอมก็หน่วงจนไม่เป็นอันทำอะไร… วันนี้ทีวีดูเล็กขอเสนอ การสร้าง Android Emulator ง่ายๆ แบบเบาๆเป็นมิตรกะคอม ที่ไม่จำเป็นต้องติดตั้ง Android Studio ทั้งยวง แต่เป็นการติดตั้ง Android Studio แบบ Command line tools only แทน ที่เคาะๆ keyboard ไม่กี่ขั้นตอนก็มี Android Emulator ให้ได้ใช้กันแล้ว

อ่านเพิ่มเติม

การดึงไฟล์ .ipa จาก Firebase

เมื่อต้องไฟล์ .ipa มาทำการแก้ไข หรือแจกจ่ายให้ผู้ทดสอบในทีมงาน แต่ Dev ได้ส่ง App ผ่าน Firebase เราสามารถแก้ปัญหาเพื่อ Download และแจกจ่ายทีมงานได้เองโดยไม่ต้องลำบาก Dev ดังต่อไปนี้

อ่านเพิ่มเติม

การ Sign ไฟล์ .apk โดยใช้ uber-apk-signer

เมื่อเราทำการแก้ไข ฺBinary ของไฟล์ Apk แล้วนั้น บางครั้งเกิด Error ไม่สามารถลงบนเครื่อง Android หรือ Emulator ได้ โดยพบข้อผิดพลาดของของ “No Certificate” เราจำเป็นต้องนำ Apk ดังกล่าวมา Sign ให้เรียบร้อย ก่อนนำไปติดตั้ง

อ่านเพิ่มเติม