วิธีการแก้ไข “TIC TCP Conn Cancel” ที่พบเมื่อเอา iOS Application วิ่งผ่าน Burp

ก่อนหน้านี้เราได้พูดถึง objection สำหรับการ inject และ bypass jailbreak detection และ ssl pinning กันมาแล้ว ประเด็นคือมันจะมีบางครั้งที่ Application ที่เราใช้งานนั้นไม่รองรับการใช้งาน SSL version ที่เป็น version ใหม่ๆ ซึ่ง admin เจอว่าถ้า Application นั้นไม่รองรับมันก็จะ error และเข้าใช้งานไม่ได้ (ต้องขอบคุณคุณแบงค์ @Prathan เทพผู้เชี่ยวชาญทางด้าน Mobile…
View Post

Burp Suite ออก Extension สำหรับการ reproduce attack โดย developer เอง

โดยปกติแล้วเวลาที่เราทำ pentest แล้วออก report เรียบร้อย สิ่งหนึ่งที่อาจเกิดขึ้นได้คือการที่รอให้ developer fix ช่องโหว่ แล้วเราเข้าไป revisit ว่าช่องโหว่ที่เคยแจ้งนั้นยังอยู่อยู่มั้ย ซึ่งบางครั้งหาก developer fix ไม่ดีก็จะหลงเหลือช่องโหว่อยู่ แล้วก็วนลูปไปคือ pentest ตรวจสอบ -> developer แก้ไข -> pentest ซ้ำ -> developer แก้ไข -> … ซึ่ง…
View Post

วิธีติดตั้ง Burp Suite Certificate ใน macOS

พอดีผมเห็นว่ามันไม่ค่อยมีคนโพสต์วิธีการติดตั้ง Certificate ของ Burp Suite ใน MacOS ก็เลยมาโพสต์ไว้หน่อยละกัน โดยปกติเราใช้ Burp Suite เป็น Proxy แล้วชี้ Google Chrome ไปยัง Proxy ดังกล่าวพบว่ามันจะเข้าเว็บไซด์ไม่ได้ ขึ้น Error เป็น ทีนี้การที่เราจะติดตั้ง certificate ของ Burp Suite ให้เริ่มต้นจากการชี้ Chrome…
View Post