이번 주말에는 틈틈히 Faraday 관련해서 계속 테스트해보고 있었습니다. 그 중 faraday_agent_dispatcher 라는 기능이 눈에 들어왔는데요, 이 기능은 faraday 서버에 여러 agent 붙여서 미리 지정 해둔 포맷 그리고 사용자가 전달해준 데이터 따라 스캐닝을 진행하고 결과를 faraday에 반영하는 기능입니다.

혹시 faraday라고 들어보셨나요? pentesting 관련해서 조금 찾아보다 보면 한번 쯤은 들어볼 수 있는 framework로 저 또한 예전부터 관심이 있긴 했지만, 실제로 사용해볼 일이 없어서 블로그에도 소개해드린 적이 없었네요. (보통 전 pentest 시 msf + documents 도구면 충분하다 느꼈어서… )

오늘 도구만들 떄 쓸 라이브러리를 만들어두려고 github repository를 추가하려 했더니 아래와 같은 메시지가 발생했습니다.

Kubernetes의 self-healing

k8s는 자체적으로 self-healing이 가능합니다. 시스템이 영향받을 때 마다 pod, container 단위로 상태를 감지하고, 비정상적인 경우 자체적으로 교체하여 최대한 안정적인 서비스를 유지할 수 있도록 도와줍니다.

저는 회사 또는 개인적으로도 PoC에 영상을 자주 활용하는 편입니다. 보통 QuickTime 으로 화면을 캡쳐한 후 바로 사용하거나 편집 도구를 통해 손을 보고 사용하게 되는데요. github issue 같이 동영상 파일 확장자 업로드가 안되는 서비스에서는 영상 파일을 바로 사용할 수가 없어 gif로 변환하여 사용하곤 합니다.

ZAP developers에 컨텐츠 하나가 공유되었는데요 바로 OAST에 대한 내용이였습니다. OAST는 이번에 ZAP core team(akshath)에서 신규로 개발중인 AddOn입니다. 기존 zap callback 기능에 burp suite의 collaborator 와 같이 out-of-band를 쉽게 테스트할 수 있도록 지원해주는 AddOn입니다.

Change Note

• HTTP Request Smuggling 글 내용 보강
• Cut image 추가
  • HTTP Request Smuggling
  • WebSocket Connection Smuggling
  • XSS
  • Nmap
  • Axiom

저는 테스트 코드를 많이 작성하진 않습니다. 아무래도 본업이 보안 엔지니어링이다 보니 현업 개발자처럼 꼼꼼하게 테스트 코드를 작성하고 조금 더 나아가 TDD(Test-Driven Development)를 신경쓰면서 개발할 수 있는 여유가 있는 것도 아니구요.

Problem

저는 보통 글을 작성할 떄 맥북에서 진행합니다. 그래서 홈 서버에서는 직접 글을 작성할 일이 별로 없었는데, 디자인 좀 수정하기 위해서 서버에서 직접 작업하다 보니 jekyll serve 시 ruby 버전 관련 에러가 있었습니다. 요약하면 github pages gem은 2.x 버전만 지원하는데, 시스템 버전이 3.x 버전이라서 발생한 문제였고, 이를 rvm로 처리하고자 rvm use를 사용했더니 아래와 같은 에러가 발생했엇습니다.

Change Note

cullinan에 History Of OWASP TOP 10 이란 이름의 페이지를 추가했습니다. 이는 OWASP TOP 10의 변화를 한눈에 보기 위해 만든 페이지로 새로운 년도의 버전이 나올 때 마다 갱신해 나갈 예정입니다.