무엇을 하든, 커버합니다

백엔드 연동, 모바일 디버깅, 보안 테스트, 부하 테스트, 프로토콜 개발, 캡처와 복호화 등, 각 작업마다 그에 맞는 해법이 있습니다

백엔드 & 연동

앱이 직접 연결해 프록시를 건너뛰고, HTTPS는 암호문의 벽이며, 프런트와 백이 필드 하나를 두고 서로 탓하며 요청을 눈으로 비교하고 있다.

직접 연결 트래픽을 NIC 캡처 → 자동 복호화 → 두 요청을 줄 단위로 비교해 데이터 문제인지 표시 문제인지 가려냄 → 코드를 생성해 프로젝트에 붙여 넣음.

모바일 앱 디버깅

앱의 HTTPS가 전부 암호문이고, 피닝된 인증서가 본문을 막으며, iOS와 최근 Android에서는 인증서 설치가 계속 실패한다.

앱 내부에서 평문을 읽음 → iOS는 탈옥 없이, Android는 인증서 설치 없이 → 피닝이 막지 못하고, 본문이 바로 거기 있음.

문서 없는 API 연동

API 문서가 없는 서드파티 서비스와 연동 중인데, 무엇을 보내야 하고 무엇이 돌아오는지 알 수 없다.

실제 트래픽을 캡처해 복호화 → 요청과 응답의 모든 필드를 읽음 → OpenAPI 명세로 변환하고 클라이언트 코드를 생성.

사설 / 바이너리 프로토콜 작업

기기나 서비스가 사설 바이너리 프로토콜을 쓰는데, 캡처는 프레임 구조가 보이지 않는 잡음의 벽이다.

짧은 스크립트로 프레이밍을 선언 → 사설 프로토콜이 구조화된 필드로 복원됨 → 프레임 단위로 구현을 확인.

API 보안 테스트

앱이나 클라이언트가 민감한 데이터를 평문으로 보내는지, 서버가 변조된 파라미터를 받아들이는지 확인해야 한다.

중간에서 가로챔 → 브레이크포인트에서 요청을 바꾸고 서버 응답을 지켜봄 → 호스트 도시에로 인증서 등급과 기술 스택을 읽고 위험을 파악.

자산 매핑 & 정찰

가진 것은 도메인이나 IP 하나뿐, 그 뒤에 어떤 서비스가 있는지 알기엔 정보가 너무 적다.

호스트 도시에로 소유 정보, A~F 인증서 등급, 기술 스택 파악 → 서브도메인 발견과 포트 스캔 → 자산 표면을 채워 나감.

API 부하 테스트 & 성능

캡처와 부하 테스트가 별개의 도구이고, 서명되거나 타임스탬프가 붙은 API는 바로 테스트할 수 없다.

우클릭 "이 요청을 부하 테스트" → 서명과 타임스탬프가 동적 값에서 다시 계산되어 바로 실행됨 → 낮게 속이지 않는 꼬리 지연 수치.

약한 네트워크 & 엣지 테스트

2G, 패킷 손실, 높은 지연에서 앱이 어떻게 동작하는지 보고 싶지만, 그 환경을 꾸리기가 번거롭다.

원클릭 약한 네트워크 프리셋 → 지연을 더하고, 대역폭을 제한하고, 패킷을 떨어뜨림 → 나쁜 연결에서 앱이 실제로 어떻게 반응하는지 확인.

네트워크 문제 해결 & 운영

타임아웃, 패킷 손실, 들쭉날쭉한 속도, 그런데 로그는 문제가 어디 있는지 보여주지 않는다.

핸드셰이크와 재전송을 패킷 단위로 읽음 → 프로토콜 트리가 DNS, TCP, 앱 계층 중 어디인지 짚어냄 → 연결 표가 어느 프로세스가 어디로 연결하는지 보여줌.

시스템 & 완고한 앱 캡처

시스템 앱이나 완고한 앱이 프록시를 들이지 않고 주입도 막아, 통신선에는 암호문만 남는다.

시스템 레벨 캡처가 아래에서 평문을 읽음 → 또는 대상 프로그램 하나만 단독으로 캡처 → 다른 도구가 닿지 못하는 곳에 닿음.

내 시나리오를 찾으셨나요? 무료로 다운로드