hahwul

Offensive Security Engineer, Rubyist/Crystalist/Gopher and H4cker

Posts - Page 21 of 86

ZAP OAST 미리 구경하기 (for OOB)

2 min read

ZAP developers에 컨텐츠 하나가 공유되었는데요 바로 OAST에 대한 내용이였습니다. OAST는 이번에 ZAP core team(akshath)에서 신규로 개발중인 AddOn입니다. 기존 zap callback 기능에 burp suite의 collaborator 와 같이 out-of-band를 쉽게 테스트할 수 있도록 지원해주는 AddOn입니다.

Go에서 자동으로 테스트 코드 생성하기(with gotests)

3 min read

저는 테스트 코드를 많이 작성하진 않습니다. 아무래도 본업이 보안 엔지니어링이다 보니 현업 개발자처럼 꼼꼼하게 테스트 코드를 작성하고 조금 더 나아가 TDD(Test-Driven Development)를 신경쓰면서 개발할 수 있는 여유가 있는 것도 아니구요.

rvm is not a function 에러 해결하기

~1 min read

Problem

저는 보통 글을 작성할 떄 맥북에서 진행합니다. 그래서 홈 서버에서는 직접 글을 작성할 일이 별로 없었는데, 디자인 좀 수정하기 위해서 서버에서 직접 작업하다 보니 jekyll serve 시 ruby 버전 관련 에러가 있었습니다. 요약하면 github pages gem은 2.x 버전만 지원하는데, 시스템 버전이 3.x 버전이라서 발생한 문제였고, 이를 rvm로 처리하고자 rvm use를 사용했더니 아래와 같은 에러가 발생했엇습니다.

[Cullinan #9] Added history of owasp top 10

~1 min read

Change Note

cullinan에 History Of OWASP TOP 10 이란 이름의 페이지를 추가했습니다. 이는 OWASP TOP 10의 변화를 한눈에 보기 위해 만든 페이지로 새로운 년도의 버전이 나올 때 마다 갱신해 나갈 예정입니다.

ZAP Plug-n-Hack을 이용한 DOM/PostMessage 분석

2 min read

Plug-n-Hack(PnH)

Plug-n-hack, 즉 PnH는 Mozilla 보안팀이 제안한 표준으로 보안 도구와 브라우저간의 상호 작용을 쉽고 유용하게 할 수 있도록 만들어진 방법을 의미합니다.

ZAP Scanning to Swagger Documents

~1 min read

OpenAPI in ZAP

ZAP은 단순히 url 리스트를 import 하는 기능 이외에도 GraphQL endpoint나 OpenAPI를 import 하는 기능을 가지고 있습니다. 여기서 OpenAPI Import를 활용하면 보통 API Spec에 많이 사용되는 SwaggerUI의 doc 데이터를 가지고 Example 코드에 맞게 API 데이터를 로드할 수 있습니다.

Chrome lighthouse를 통한 웹 페이지 성능 측정

1 min read

보통 SEO나 사이트 퍼포먼스를 측정하기 위해 온라인 페이지를 사용하는 경우가 많습니다. 물론 나쁘지 않은 방법이지만 해당 사이트가 수집한 데이터를 어떻게 사용할지, 또한 이 결과가 다른 SEO 등에 어떤 영향을 미치는지 우리는 잘 알지 못합니다.